Conceptos avanzados

de Seguridad
Informtica
Docentes:
Lic. Paula Venosa
Mg. Nicols Macia
 Temas
Conceptos bsicos y tendencias en seguridad de la
informacin

Mecanismos de mitigacin

CSIRTS y sus servicios

Seguridad de la Informacin
 Atributos de seguridad de la informacin

Confidencialidad: Garantiza que la informacin

slo sea accesible por las personas autorizadas.

Integridad: Garantiza que la informacin slo

pueda ser modificada por quien est autorizado a
hacerlo.

Disponibilidad: Garantiza que los usuarios

autorizados tienen acceso a la informacin y
recursos relacionados cuando lo necesiten.
 Atributos de seguridad de la informacin

Autenticidad: Garantiza que la persona que

origina o recibe el mensaje es quien dice ser.

No repudio: Garantiza que la persona que

envi o recibi el mensaje no pueda negar
haberlo hecho.

Trazabilidad: Garantiza que toda accin

puede ser reproducida.
 Seguridad de la Informacin

Una vulnerabilidad es una debilidad en un

activo.
Una amenaza es una violacin potencial de la
seguridad. Las amenazas sacan ventaja de las
vulnerabilidades.
Un incidente de seguridad, es un evento
adverso que afecta los activos de la
organizacin. Se produce cuando una amenaza
se concreta.
Qu les preocupa a las organizaciones?

Fuente: Informe ESET Security Report Latinoamrica 2017

 Incidentes de seguridad en
organizaciones latinoamericanas (2016)

Fuente: Informe ESET Security Report Latinoamrica 2017

 Amenazas

Ingeniera social

SPAM

Phishing

Malware

Ramsomware

Botnets

Ataques de denegacin de servicio

Vulnerabilidades en software y sistemas: aplicaciones de escritorio

(office, navegadores, lectores de pdf), aplicaciones web y servicios
 Ingeniera social
En Internet, las distintas amenazas utilizan tcnicas de
ingeniera social.
La ingeniera social es un conjunto de trucos, engaos o
artimaas que permiten confundir a una persona para
lograr que entregue informacin confidencial
Sera lo que en la calle se conoce como:
el cuento del to

La principal defensa contra la ingeniera social es

concientizarnos en el uso de polticas de seguridad
 SPAM
Tambin llamado Correo Basura. Es uno de los
principales medios para hacer llegar todo tipo de
problemas a los usuarios del correo electrnico.

Algunos de estos problemas son:

Publicidad no deseada

Phishing

Malware

Ransomware

Infeccin de bots
 Phishing
El phishing es una combinacin de ingeniera
social y elementos tcnicos que se utilizan para
engaar al usuario.

El objetivo es lograr que el mismo entregue

involuntariamente informacin confidencial como
por ejemplo: usuario y contrasea.

La forma ms comn es mediante el envo de

mails falsos, escritos como si hubieran sido
enviados por la autntica organizacin.
 Phishing

Phishing
Mail falso
 Phishing

Phishing
Sitio
verdadero

Aviso de
seguridad
en la
seccin de
Banca de
personas
 Phishing
Ms ejemplos del da a da
 Ms ejemplos de ingeniera social
Baiting (carnada): el atacante carga unidades de
USB con malware y luego simplemente espera que el
usuario las conecte a su mquina.
Por ejemplo: colocando USB drives o CDs
infectados con malware en lugares pblicos.

Tailgaiting

https://www.youtube.com/watch?v=SvTJuOE9zNo
 Malware
El malware es software malicioso que puede:
Infectar otras PCs
Permitir el acceso remoto a la informacin de la PC
Destruir informacin
Robar informacin personal
Hacer que nuestra PC ejecute acciones ordenadas por
un tercero: enviar SPAM, saturar comunicaciones, etc.
Consideramos malware a cualquiera de los siguientes: Virus,
Gusano, Troyano, Spyware, Keylogger, Backdoor, Ransomware
 Malware
El malware puede llegar con o sin nuestro consentimiento.

Sin nuestro consentimiento, infectando nuestro dispositivo:

Al visitar un sitio web malicioso

Al utilizar un pendrive infectando

A travs de la red a la que est conectada nuestro dispositivo
Con nuestro consentimiento:

Instalando software pirata. (juegos, cracks, keygens)

Siendo vctimas de ingeniera social.
 Malware

A veces, que un dispositivo est infectado con un malware es

como tener a alguien observando qu hacemos.
El malware puede saber: qu sitios visitamos, qu teclas
presionamos, donde hacemos click,... todo.
Es por esto que debemos ser cuidadosos con el dispositivo
utilizado para acceder a los sistemas crticos para nosotros o
para la organizacin: Homebanking, Paypal, Webmail.
Evitar usar PCs no confiables (ubicadas en lugares
pblicos, PCs en las que se instal software pirata)
 Ejemplo Malware

Atacante con:
Software para armar malware y controlar
la PC del usuario
Software nativo de windows para mejorar
el ataque
Ingeniera social
 Ransomware
El ransomware es malware usado por cibercriminales para
secuestrar un dispositivo o la informacin almacenada en
estos.
Dependiendo del tipo de ransomware:
Encripta archivos importantes y pide el pago de un rescate
a cambio de la clave de desencripcin utilizada. Amenaza
con borrar la clave luego de una fecha lmite.
Se hace pasar por la polica y extorsiona al usuario
diciendo que se encontr pornografa y software pirata.
Altera el arranque de la PC evitando que pueda encender.
 Ramsomware
El poder de accin de un ransomware que cifra la
informacin no est limitado solamente a la PC
infectada, tambin puede:
Cifrar la informacin alojada en carpetas
compartidas en otra PC a las que el usuario
tiene acceso.
Cifrar la informacin alojada en dispositivos USB
u otros conectados a la PC (pendrives, discos
externos, memorias flash).
Estn diseados para buscar archivos importantes
para las organizaciones y encriptarlos.
Ejemplo Ransomware
 Botnets
Qu es una botnet?

Es una red de bots, que son hosts infectados (combinan

aspectos de virus, troyanos, gusanos y rootkits: control
remoto, propagacin, etc)

Hay una entidad de control conocido como Servidor

Command & Control manejado por bot master/herder
(una persona o grupo)

Realizan actividades maliciosas, como por ej:

Robo de credenciales

Envo de SPAM

DDOS
 Botnets
Cmo funcionan?
 Botnets
Economa del MW - Modelo de roles simplificado
 Botnets
Arquitectura centralizada

Los bots establecen comunicacin con un nico servidor ( o
jerarqua de servidores) (C&C)

En sus inicios, basadas en el funcionamiento del protocolo IRC

Es simple coordinar y monitorear la botnet

El protocolo de comunicacin puede ser IRC, HTTP, HTTPS
 Botnets
Arquitectura descentralizada

Tambin conocidas como botnets P2P

El botmaster inyecta los comandos a un bot (usando el
protocolo de comunicacin de la botnet o a travs de una
actualizacin (los bots intercambian su nmero de versin y en
caso de ser necesario se actualizan a partir del ms nuevo))

Es difcil localizar al botmaster alto grado de anonimato
 Tendencias en seguridad de la
informacin

Antes, los ataques tradicionales iban dirigidos a los

servicios de una organizacin.

Con el tiempo, los atacantes se dieron cuenta que los

usuarios eran un objetivo mas fcil

Debido a sto, los ataques fueron migrando hacia los

usuarios:

Aplicaciones de escritorio (navegador, office,
lectores de pdf, reproductores, etc)

Smartphones
 Ejemplo ataque aplicacin
de escritorio
Usuario con:
Acrobat Reader desactualizado

Atacante con:
Metasploit
Ingeniera Social
 Atacando Aplicaciones WEB

Los problemas en una aplicacin web atentan

contra:
La reputacin de la Organizacin donde la misma
se aloja.
La disponibilidad del servicio que da a sus
usuarios.
La confidencialidad y la integridad de los datos.
El uso responsable del servidor.
 Seguridad en la navegacin web
La seguridad de los usuarios, cuando utilizan la web, puede ser
comprometida por distintos factores:

Que el usuario no proteja adecuadamente sus contraseas

Que el usuario no proteja adecuadamente sus cookies

Que la aplicacin web presente vulnerabilidades que se
puedan utilizar para:

Robar las cookies de sesin de los usuarios

Acceder de manera directa a la BD de la aplicacin

Hacer que el usuario realice alguna accin sobre la aplicacin web que
l no quiso realizar

Revelar el contenido de las comunicaciones
 Cookies de
Sesin
Se utilizan
cabeceras
HTTP para
intercambiar
cookies:
Set-Cookie:
para que el servidor pueda enviar
una cookie al cliente

Cookie:
para que el cliente pueda
identificarse en cada requerimiento
enviado al servidor

HTTP State Management Mechanism - https://tools.ietf.org/html/rfc6265

 Cookies de sesin
Permiten identificar, al usuario, del lado del servidor.
Se almacenan en la PC del usuario.
El navegador, siempre que exista una cookie vlida contra el
servidor, intentar usarla.
Las cookies y la seguridad de
las aplicaciones web
Una persona que sepa mi cookie, podr
hacerse pasar por m.
Las cookies y la seguridad de
las aplicaciones web

La cookie puede ser revelada a un tercero de

distintas maneras:
Inspeccin de los datos del navegador, por
descuido o ingeniera social.
(video anterior)
Inspeccin de trfico de red o sniffing.
Explotando vulnerabilidades en la
aplicacin web.
Inspeccin de trfico de red:
Sniffing
Seguridad en aplicaciones Web (SAW)
OWASP (Open Web Application Security Project):

Es un proyecto conformado por una
comunidad mundial libre y abierta, centrada en
mejorar la seguridad del software.

Tiene como fin ayudar a las organizaciones a
desarrollar y mantener aplicaciones confiables.

OWASP TopTen: documento que resume los
10 problemas de seguridad ms crticos
OWASP Top Ten 2013 vs 2017
 Fallas de inyeccin

Las fallas de inyeccin, tales como SQL, OS, y

LDAP, ocurren cuando datos no confiables son
enviados a un intrprete como parte de un comando
o consulta. Los datos hostiles del atacante pueden
engaar al intrprete y hacer que ejecute comandos
no intencionados o acceder datos no autorizados.
 Inyeccin SQL
Cdigo de la
aplicacin web
vulnerable

Sentencia SQL resultante

cuando el usuario
ingresa: Alicia

Entrada de usuario malintencionada que puede causar compromiso de datos

Consulta resultante de
ingresar el string anterior
 Broken Authentication and Session
Management

Vulnerabilidades en funciones de autenticacin o

gestin de sesiones que pueden ser usadas para
comprometer cookies, contraseas.
Implementaciones inadecuadas de mecanismos de
manejo de sesiones que pueden ser manipulados por
un atacante para robar el acceso a un usuario vlido o
incluso provocarle una denegacin de servicio.
 Broken Authentication and Session
Management
Dilema: Problema de usabilidad vs seguridad
 Broken Authentication and Session
Management
Ejemplos de vulnerabilidades de este tipo:

Asignacin de contraseas predecibles ante la creacin de
una nueva cuenta.

Procedimientos de cambio de contrasea que no soliciten la
contrasea anterior.

Procedimientos de recuperacin de clave en el que se
enva la contrasea olvidada al usuario.

Uso de identificador del ususario de IDs expuestos en la
URL.

Permitir al usuario establecer el IDs de sesin
(Session Fixation)
 Broken Authentication and Session
Management
Session Fixation
Consiste en obtener un ID de sesin vlido e inducir al usuario
a autenticarse con ese ID.
 Cross site scripting o XSS

XSS permite a un atacante ejecutar scripts en el

navegador de la vctima.

Con este ataque un atacante puede:

Robar IDs de sesiones de usuarios (cookies).

Insertar contenido hostil (javascript) en un sitio

web vulnerable.

Insertar contenido que facilite la implementacin

de ataques de phishing.
 Cross Site scripting
Tipos ms comunes de XSS:

XSS reflejado o no persistente.

XSS almacenado o persistente.
XSS reflejado
Explotando vulnerabilidades
web (XSS)
Explotando vulnerabilidades
web (XSS)
Explotando vulnerabilidades
web (XSS)
XSS persistente
Cross Site Request Forgery o CSRF
Consiste en explotar la confianza que el sitio tiene en el
usuario.
El atacante consigue que la vctima enve peticiones
HTTP involuntariamente.
Si el usuario est autenticado entonces el ataque ser
exitoso.

Los atacantes pueden cambiar cualquier dato que la

vctima est autorizado a cambiar, o acceder a cualquier
funcionalidad para la que la misma est autorizada.
Atacando Servicios: DNS, Mail, Web, etc
Los servicios tambin son blanco de los ataques:
Servidor de correo
Servidor DNS
Servidor Web
Servidor de mail
Las vulnerabilidades puede ser producto de falta de
actualizaciones como de configuraciones inadecuadas.
Atacando Servicios: DNS, Mail, Web, etc
Un servidor o servicio vulnerable corre riesgo de:

Permitir accesos no autorizado, pudiendo:

Comprometer informacin de la organizacin

Usar el servidor para atacar a terceros

Usar el acceso logrado para profundizar el ataque
dentro de la organizacin

Permitir que sea usado en ataques de denegacin de

servicio a terceros (ataques de amplificacin)
 Ejemplo ataque a servicio
Servidor con:
Sistema operativo desactualizado

Atacante con:
Secretos de la NSSA EternalBlue
Metasploit
Ataque registrado por
www.digitalattackmap.com
Servicios amplificables
 Ejemplo ataque amplificacin
Servidor de dominio de DNS que:
Los datos de la Zona son grandes y permiten
ataques de amplificacin
Se alterna la activacin de configuraciones
de RLL (Response Rate Limit)
Tendencias Seguridad en smartphones
La seguridad se puede ver afectada por:

Aplicaciones maliciosas

Usos/configuraciones inadecuadas por parte del usuario

al:

No utilizar cdigo de desbloqueo.

Instalar aplicaciones por afuera del market.

Conectarse a redes wifi pblicas.
Tendencias Seguridad en Smartphones
Un smartphone comprometido pone en riesgo:

Accesos a redes WIFI a las que el dispositivo se conecta.

Cuentas de correo configuradas en el dispositivo.

Chats de aplicaciones de mensajera.

Aplicaciones: Facebook, Linkedin, Twitter, navegadores.

Contactos.

SMSs.

Informacin almacenada: fotos, documentos, etc.
 Tendencias - BYOD
Actualmente es muy comn el uso de dispositivos
mviles.

BYOD (Bring your own device) consiste en la utilizacin

de dispositivos mviles propios en ambientes
corporativos.
Las amenazas que afectan a los smarphones son
amenazas para la organizacin al existir el BYOD.
 Tendencias Seguridad en IoT
Internet de las Cosas (IoT) no son solo dispositivos mviles y
objetos vestibles (o wearables), son cientos de miles de
sensores, dispositivos integrados o embebidos y otros
sistemas conectados en una amplsima variedad de tareas que
nos facilitan la vida da a da.
Tal crecimiento aumentar los problemas de seguridad y de la
privacidad:

se trata de dispositivos con capacidad de procesamiento

limitada que no son capaces de ejecutar soluciones
antimalware convencionales.

la red de cibercriminales est cada vez ms preparada y

mejor ensamblada para lanzar ataques.
 Tendencias -Seguridad en IoT
Algunas preguntas que nos podemos hacer:

Quienes administran las cosas?Se administran?

Hay regulaciones/normas/estndares relacionadas con la seguridad en

IOT?

Qu ocurre con las actualizaciones del firmware y el software en IOT?

Cmo y dnde se almacenan los datos recolectados?

Las vulnerabilidades, amenazas, ataques que conocemos aplican a IOT?

Es posible aplicar los mismos mecanismos de proteccin en IOT?

Tendencias -IoT
Tendencias -IoT
Tendencias -IoT
 Shodan
Es un buscador de servicios o dispositivos
conectados a internet.
Permite buscar por diferentes criterios como puerto y
protocolo de transporte.
Permite a los usuarios buscar dispositivos
(computadoras, impresoras, cmaras, switches,
routers, etc) con un contenido especfico en el
banner.
Algunos filtros de bsqueda avanzados requieren
que el usuario est autenticado. Ejemplo: bsquedas
por pas y net.
Tanques de nafta con Shodan
Tanques de nafta con Shodan -
Cont
 Referencias
https://www.welivesecurity.com/wp-content/uploads/2017/04/eset-security-
report-2017.pdf

http://www.antiphishing.org/

https://www.honeynet.org/papers/bots/

http://www.itu.int/ITU-D/cyb/cybersecurity/projects/botnet.html

Botnets: Detection, Measurement, Disinfection & Defence Enisa

http://www.owasp.org

https://www.us-cert.gov/ncas/alerts/TA14-017A

http://www.digitalattackmap.com

http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revista
s/pdf/21_RevistaSeguridad-JavayOtrasTecnologias.pdf