Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Confidencialidad, integridad y disponibilidad - Prisiones

Anuncio 
COMISARIA GENERAL DE POLICÍA JUDICIAL
U.D.E.F. CENTRAL
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
Jefe del Grupo de Seguridad Lógica
Inspector Pablo Alonso
Comisaría General de Policía Judicial
ORGANIZACIÓN OPERATIVA
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
SECCIÓN OPERATIVA I
SECCIÓN OPERATIVA II
PROTECCIÓN AL MENOR
I y II
FRAUDES EN INTERNET
I y II
FRAUDE A LAS
TELECOMUNICACIONES
SEGURIDAD LÓGICA
REDES ABIERTAS
PROPIEDAD
INTELECTUAL
SECCIÓN TÉCNICA
INFORMES
APOYO TÉCNICO
FORMACIÓN
ESTUDIOS
I+D
¿Que es la seguridad?
La seguridad informática se
encarga de la identificación de las
vulnerabilidades de un sistema y
del establecimiento de
contramedidas que eviten que las
distintas amenazas posibles
exploten estas vulnerabilidades.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
CONCEPTO DE SEGURIDAD
“Proceso consistente en mantener
un nivel aceptable de riesgo
percibido”
Richard Bejtlich.
El Tao de la monitorización de seguridad en redes
Eventualmente TODO
sistema de seguridad
FALLARÁ.
Objetivos de la seguridad
• Garantizar el CID
– Confidencialidad: Que nadie más lo vea
– Integridad: Que nadie más lo cambie
– Disponibilidad: Que siempre esté ahí
• Implantar las reglas de Oro
– Autenticación: Quién es
– Autorización: Qué puede hacer
– Auditoría: Qué ocurrió
• Asegurar el No Repudio
– Que nadie pueda decir que él NO FUE
Conceptos Básicos
•Vulnerabilidad.
–Punto o aspecto del sistema o sus aplicaciones
que es susceptible de ser atacado o de dañar la
s e g u r i d a d d e l m i s m o . Re p r e s e n t a n l a s
debilidades o aspectos falibles o atacables en un
sistema informático.
•Amenaza.
–Posible peligro para el sistema. Puede ser una
persona (hacker), un programa (virus, caballo
de Troya, ...), o un suceso natural o de otra
índole (fuego, inundación, etc.). Representan
los posibles atacantes o factores que
aprovechan las debilidades del sistema.
•Contramedida.
–Técnicas de protección del sistema contra las
amenazas.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Seguridad Informática
CARACTERISTICAS A GARANTIZAR
•Disponibilidad
–El sistema se mantiene funcionando eficientemente y es
capaz de recuperarse rápidamente en caso de fallo.
•Integridad
–Permite asegurar que no se ha falseado la información, es
decir, que los datos recibidos o recuperados son
exactamente los que fueron enviados o almacenados, sin
que se haya producido ninguna modificación.
•Confidencialidad
–Capacidad del sistema para evitar que personas no
autorizadas puedan acceder a la información almacenada
en él.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Seguridad Informática
OTROS ASPECTOS
•Autenticidad
–Permite asegurar el origen de la información. La identidad
del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.
•Consistencia
–Asegurar que el sistema se comporta como se supone que
debe hacerlo con los usuarios autorizados
•Aislamiento
–Regular el acceso al sistema, impidiendo que personas no
autorizadas entren en él.
•Auditoria
–Capacidad de determinar qué acciones o procesos se han
llevado a cabo en el sistema, y quién y cuándo las han
llevado a cabo.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Seguridad Informática
PRINCIPIOS FUNDAMENTALES
•Principio de menor privilegio
– Cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para
desarrollar su tarea y ninguno más.
•Principio del eslabón más débil
– En todo sistema de seguridad, el máximo grado de seguridad no
es la suma de toda la cadena de medidas sino el grado de
seguridad de su eslabón más débil.
•Punto de control centralizado
– Se trata de establecer un único punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al
mismo tenga que pasar por él. No se trata de utilizar un sólo
mecanismo de seguridad, sino de "alinearlos" todos de modo que
el usuario tenga que pasar por ellos para acceder al sistema.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Seguridad Informática
PRINCIPIOS FUNDAMENTALES
• Seguridad en caso de fallo
– Este principio afirma que en caso de que cualquier
mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.
• Participación universal
– Cualquier mecanismo de seguridad que establezcamos
puede ser vulnerable si existe la participación voluntaria
de algún usuario autorizado para romperlo.
• Simplicidad
– Mantener las cosas lo más simples posibles, las hace más
fáciles de comprender mientras que la complejidad
permite esconder múltiples fallos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Seguridad Física y Ambiental
• La norma ISO establece dos
categorías:
–Áreas Seguras: Con la finalidad de
impedir el acceso no autorizado a las
instalaciones de la organización.
–Seguridad en los equipos: A fin de
impedir la perdida, daño o robo de la
información.
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS.
• Distingue tres fases:
–Antes de la contratación.
–Durante el desarrollo del empleo.
–En el cese o cambio de puesto de
trabajo.
Antes de la contratación.
–Se deben definir y documentar los
roles y responsabilidades en
seguridad describiendo el puesto de
trabajo de acuerdo al documento de
políticas de seguridad.
–Se deben investigar los antecedentes
y referencias del candidato.
– L o s r o l e s , r e s p o n s a b i l i d a d e s ,
términos y condiciones del puesto de
trabajo deben figurar en el contrato.
Durante la contratación.
– Informar, concienciar y motivar a los
empleados para el cumplimiento de los
términos y condiciones establecidos en
materia de seguridad.
– Formar y capacitar al personal sobre sus
funciones y procedimientos respecto de la
seguridad.
– Fijar y documentar un régimen disciplinario
para las infracciones en materia de
seguridad
En el cese o cambio de puesto de
trabajo.
– Se deben definir y documentar los roles y
responsabilidades tras el cese incluyendo
cualquier cuestión relacionada con los
acuerdos de confidencialidad.
– Fijar procedimientos de devolución de todo
el material proporcionado por la
organización. En caso de equipos cedidos o
vendidos al trabajador garantizar la limpieza
de los equipos.
– Retirar los derechos de acceso que pudieran
habérsele otorgado.
– Los cambios de puesto de trabajo deben
tratarse como si fueran un cese y una nueva
contratación.
MEDIDAS DE PROTECCIÓN
ADMINISTRATIVAS Y ORGANIZATIVAS
• El establecimiento de una política de
seguridad
• El análisis de riesgos y los planes de
contingencia
• La asignación de responsabilidades
• La política de personal
POLÍTICAS DE SEGURIDAD
• a) Ninguna seguridad
• La medida más simple posible es no hacer ningún esfuerzo en
seguridad y tener la mínima, cualquiera que sea, por ejemplo la
que proporcione el vendedor de forma preestablecida.
• b) Seguridad a través de ser desconocido
• Con este planteamiento se supone que un sistema es seguro sólo
porque nadie sabe de él.
• c) Seguridad para anfitrión
• El modelo plantea reforzar la seguridad de cada máquina anfitrión
por separado, y hacer todo el esfuerzo para evitar o reducir los
problemas de
• seguridad que puedan afectar a ese anfitrión específico.
• d) Seguridad para redes
• Conforme los entornos se hacen más grandes y diversos, es más
difícil
• asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un
modelo
• de seguridad para redes
La seguridad requiere una visión global
DINÁMICA DE LA SEGURIDAD
La Seguridad
NO es un proceso puntual,
es un proceso CONTINUO.
Estimación
Respuesta
Protección
Detección
RIESGO PARA LAS
ORGANIZACIONES
Riesgo = Amenaza x Vulnerabilidad x
Valor del bien
Amenaza Pasiva: Confidencialidad
(sniffer)
Amenaza Activa: Cambian el estado del
sistema
¿Que es una intrusión?
Es un conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de algún
recurso. Se definen o clasifican a partir de una política de
seguridad.
•Intrusiones para mal uso.- son ataques en puntos débiles
conocidos de un sistema. Pueden ser detectados
observando y buscando ciertas acciones que se realizan a
ciertos objetos.
•Intrusiones anómalas.- se basa en la observación de
desviaciones de los patrones de uso normales del
sistema. Pueden ser descubiertos construyendo un perfil
del sistema que se desea supervisar, y detectando
desviaciones significantes del perfil creado.
TIPOS DE ATAQUES
•Ataques contra la Disponibilidad
–Denegación de Servicios DOS, DDOS
•Ataques contra la Integridad
–Defacement.
•Ataques contra la Confidencialidad
–Fuerza Bruta, Robo de Credenciales, Robo de cookies,
Robo de información técnicas de inyección.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Denegación de servicio
• Ataque DOS: Colapsar un sistema sobrecargándolo
de peticiones, de forma que sus usuarios legítimos
no puedan acceder.
• Ataque DDOS: es un ataque DOS distribuido. Se
usan múltiples equipos “zombis” que lanzan el
ataque simultáneamente.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Botnets
• E l t e r m i n o “ b o t n e t ” h a c e
referencia a una red de bots
(originalmente robots de IRC
que simulaban una identidad
dentro de un canal).
•Sus funciones originales eran el
control de canales y la simulación
de participantes en juegos
multijugador.
• A c t u a l m e n t e s e u s a n
esencialmente para Ataques de
DDoS, envío de (SPAM), alojar
herramientas y componentes
destinados al fraude (Phising),
manipulación de encuestas,
votaciones y juegos online y
distribución de malware.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
CRIMEWARE
Tipo de programa diseñado específicamente para cometer
delitos (crímenes) de tipo financiero o similares, intentando
pasar desapercibido por la víctima. Por extensión, también hace
referencia a aplicaciones web diseñadas con los mismos
objetivos.
Un crimeware puede robar identidades, datos confidenciales,
contraseñas, información bancaria, etc. También puede servir
parta robar la identidad o espiar a una persona o empresa.
El término fue ideado por Peter Cassidy, Secretario General del
Anti-Phishing Working Group, para distinguir este
tipo de
software de otros malignos como malwares, spywares,
adwares, etc. (Aunque muchas veces éstos emplean técnicas
similares para propagarse o actuar).
La industria del crimeware sigue creciendo a través de la puesta
en desarrollo y comercialización de nuevos paquetes de exploits
pre-compilados que se suman a la oferta de alternativas
destinadas a facilitar las maniobras delictivas a través de
Internet.
BLACK HOLE EXPLOITS KIT
Black Hole Exploits Kit, una aplicación web desarrollada en
Rusia pero que además incorpora para su interfaz el idioma
inglés, y cuya primera versión (beta por el momento) está
intentando insertarse en el mercado clandestino desde principios
de septiembre de 2010. Su costo esta determinado en función
de una serie de características que intentan diferenciarlo del
resto.
Por ejemplo, adquirir este crimeware durante 1 año (por el
momento el tiempo máximo) tiene un costo de $ 1500 dólares,
mientras que una licencia semestral y trimestral, cuestan $
1000 y $ 700 respectivamente.
BLACK HOLE EXPLOITS KIT
¿QUÉ SE BUSCA EN UN ATAQUE?
• Objetivos de un ataque:
–Denegación de Servicio (DoS).
–Robo de la información (BBDD,
propiedad industrial…).
–Destruir / dañar información.
–Controlar la máquina objetivo
(BotNets, SPAM, DDoS).
TIPOS DE VULNERABILIDADES
• Técnicas (bug)
–
–
–
–
–
–
–
–
–
Cross Site Scripting
Inyección SQL
Inyección de comandos
Falsificación de frames
Desbordamiento de búfer
Listado directorios
Archivos/directorios backup
Archivos de configuración
Etc.
• Lógicas o funcionales (flaw)
– Autenticación defectuosa
– Fallos en lógica de
negocio: no se valida un
número de tarjeta o de
cuenta
– Modificación de precios
– Modificación de cookies
– Escalada de privilegios
horizontal/vertical
– SSL no requerido
– Criptografía pobre
– Info++ en mensajes de
error
– Etc.
• MODELO DE ESTRUCTURA DE RED
INTERNET
EL ATAQUE A SERVICIOS WEB
CON TECNICAS SQL INJECTION
Usuario malicioso
“la primera password de la
tabla de usuarios es ’6h4r15B’”
passwd=xyz
&rid=3’+union+select+top+1
+password+from+usuarios=‘1&
“dame la primera password
de la tabla que almacena
las cuentas de usuarios”
Tecnicas de Inyección
.
El uso de tecnicas de inyección,
particularmente la inyección de SQL, son
muy frecuentes en todo tipo de incidentes
de seguridad en aplicaciones web.
• Ocurre cuando los datos proporcionados
por el usuario se envían a un interprete
como parte de un comando o consulta sin
validarlos.
• El atacante puede manipular la entrada
para forzar al interprete a ejecutar otras
consultas extrayendo o modificando los
registros de la base de datos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Ejemplos de SQL
Inyection
• ‘ OR ‘1’=‘1
• ‘;UPDATE usuarios SET
(password) VALUES (md5
(‘mipass’)) where user=‘admin
• ‘ EXEC master..xp-cmdshell ‘cmd
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Soluciones.
• Validación de entrada: Comprobar longitud,
tipo, sintaxis … de todos los datos de
entrada antes de ser mostrados o
almacenados.
• Permitir los mínimos privilegios necesarios a
las aplicaciones que conectan a bases de
datos.
• Evitar mensajes de error detallados.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Cross Site Scripting (XSS)
• El Cross site scripting, también conocido
como XSS, es un tipo de inyección HTML
que se produce cuando una aplicación toma
datos introducidos por el usuario y los envía
al navegador sin validarlos o codificarlos.
• El script malicioso suele estar construido en
JavaScript pero existen variantes en otros
lenguajes de script.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Cross Site Scripting (XSS)
• Permite al atacante ejecutar código en el
navegador de la victima.
• Sus finalidades pueden ser:
–Desfigurar una web (“Deface”)
–Insertar contenido inadecuado.
–Robo de sesiones
–Ataques de suplantación (“Phising”)
–Tomar el control del navegador
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Soluciones.
• Validación de entrada:
• Usar un mecanismo de validación de entrada
que compruebe longitud, tipo, sintaxis … de
todos los datos de entrada antes de ser
mostrados o almacenados.
• Codificación de salida:
• Codificar los datos de forma apropiada. (ej,
HTML Entities o MS Anti XSS library) de modo
que no puedan llegar a mostrarse o
almacenarse en forma ejecutable.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
¿Qué es un exploit?
Es una pieza de software, un
fragmento de datos, o una
secuencia de comandos cuyo
objetivo es automatizar el
aprovechamiento de una
vulnerabilidad.
Ejemplo de exploit
Troyanos
LA CREACIÓN DE TROYANOS
En 4 simples pasos:
Diseño
Ocultación
Verificación
Distribución
Creación de un troyano
Mediante el uso de “packers” comerciales o gratuitos
Creación del Software
La Ingeniería Inversa
La Ocultación
CREACIÓN DE TROYANOS
Las Técnicas de ocultación
“Packers” comerciales:
ASPack
Armadillo
ASProtect
FSG
EXECryptor
NSPack
UPack
Telock
MEW
PECompact
RUSSIAN BUSINESS NETWORK
(Equipos a prueba de balas)
• RBN, ofrece una completa infraestructura para los
ciberdelitos. Phishing, malware, ataques DDoS,
pornografía infantil…etc son soportados por este ISP
ruso. Para ello, se pone a disposición del cliente varias
botnets, shells remotas en servidores crackeados,
servidores centralizados de gestión de estas
actividades…etc.
• La RBN se encuentra en S. Petersburgo (Rusia) y
proporciona alojamiento web. Su actividad está tan
íntimamente relacionada con la industria del malware,
que muchos nodos han decidido bloquear directamente
toda conexión con direcciones pertenecientes a esta
red. Y no sólo malware. Se dice que la mitad del
phishing mundial está alojado impunemente en alguno
de sus servidores.
• En los últimos años no es fácil encontrar un incidente
criminal a gran escala en la que no aparezcan por algún
sitio las siglas RBN (o "TooCoin" o "ValueDot",
nombres anteriores con los que ha sido conocida).
RUSSIAN BUSINESS NETWORK
(Equipos a prueba de balas)
Ejemplo de ataque
Usuario malicioso
CONSEJOS GENERALES
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Deshabilitar servicios y cuentas no utilizados.
Actualización de S.O. y aplicaciones (parches).
Uso de “buenas” contraseñas.
Utilización de Firewalls
Chequeo de integridad de aplicaciones y S.O.
Back-ups periódicos.
Análisis periódico de logs, monitorizar y graficar estadísticas.
Auditar con escaners de vulnerabilidades
Consultar Listas de vulnerabilidades
Limitar y controlar uso de programación del lado del cliente
(javascript)
Técnicas de defensa a fondo y puntos de choque en redes
Limitar tiempo querys
Desarrollo seguro de aplicaciones web.
Encriptación del tráfico
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
CONTACTO
•BRIGADA DE INVESTIGACIÓN
TECNOLÓGICA
•C\ Julian Gonzalez Segador s/n 28.043
Madrid
•Tfno. 91/582.24.67
•Fax. 91/582.24.84
•Web: http://www.policia.es/bit/index.htm
•E-mail: [email protected]
[email protected]
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
Documentos relacionados
BRIGADA DE EMERGENCIA La brigada de emergencia tiene como
BRIGADA DE EMERGENCIA La brigada de emergencia tiene como
5. Naturaleza y extensión de los daños
5. Naturaleza y extensión de los daños
estructura organizacional de la unidad interna de proteccion civil
estructura organizacional de la unidad interna de proteccion civil
tasa por ocupacion y uso de bienes en dominio público local
tasa por ocupacion y uso de bienes en dominio público local
Pinche para leer el díptico.
Pinche para leer el díptico.
COMBATE CUERPO A CUERPO Y DEFENSA PERSONAL Desde
COMBATE CUERPO A CUERPO Y DEFENSA PERSONAL Desde
DEPARTAMENTO DE POLICIA DE SANTA ROSA Instrucciones
DEPARTAMENTO DE POLICIA DE SANTA ROSA Instrucciones
1 POR EL CUAL SE AUTORIZA EL INGRESO AL CUADRO
1 POR EL CUAL SE AUTORIZA EL INGRESO AL CUADRO
MINISTERIO DEL INTERIOR POLICIA NACIONAL
MINISTERIO DEL INTERIOR POLICIA NACIONAL
Descargar
Anuncio
Anuncio