620 likes | 797 Views
Information Security Ethical Hacking & Computer Forensics. ZL-SSC – Certifications:. Consultor en Seguridad e Inteligencia Corporativa.
E N D
Information SecurityEthical Hacking & Computer Forensics ZL-SSC – Certifications: Consultor en Seguridad e Inteligencia Corporativa ZL – SECURITY SENIOR CONSULTANTTel.: +54 11 4590 2320Fax.: +54 11 4590 2201Edificio Laminar PlazaIng° Butty 240, 4° PisoC1001AFB Capital Federal - Argentinawww.zacariasleone.com.ar
Delitos Informáticos Concepto El delito informático puede comprender tanto aquellas conductas que valiéndose de medios informáticos lesionan intereses protegidos como la intimidad, el patrimonio económico, la fe pública, la seguridad, etc., como aquellas que recaen sobre herramientas informáticas propiamente dichas tales como programas, computadoras, etc.
Principales Amenazas • Existen cuatro tipos básicos. • Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos ysistemas informáticos. • Delitos de fraude informático. • Delitos por su contenido. • Delitos relacionados con la infracción de la propiedad intelectual.
¿Quienes pueden atacar? 80% Novatos 12% Intermedio 5% Avanzados 3% Profesionales
A quienes afectan los delitos informáticos • Las empresas utilizan sistemas de información llegando a ser inevitablemente dependientes de ellos, ya que la mayor parte de sus datos están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. • Un tercio de los usuarios utiliza contraseñas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de adivinar en cuestión de minutos y cada vez más virus se valen de esta debilidad de los usuarios. (el virus "Deloder", que logró ingresar en más de 10.000 sistemas en el mundo a partir de una serie de listas con contraseñas). • Las amenazas pueden surgir tanto desde el exterior como desde el interior de la compañía: virus, hackers, los propios empleados, etc.
Vulnerabilidades Ejemplos Hack Passwords • Uso de passwords default o en blanco • Passwords predecibles Configuración Incorrecta • Usuarios con privilegios excesivos • Aplicaciones corriendo sin autorización Ingeniería Social • Administradores que resetean passwords • sin verificar la identidad del llamado Seguridad Débil • Servicios no usados y puertos inseguros • Firewalls y Routers usados incorrectamente Transferencia de datos sin encriptar • Paquetes de autenticación en texto plano • Datos importantes sin encriptar vía Internet Software sin parche de seguridad • Service Packs no mantenidos • Antivirus sin actualizar Vulnerabilidades mas comunes
INTRUSO 1-Búsqueda de Ingreso Correr un scanner de puertos 2-Penetración Explorar un sistema sin parches de seguridad 3-Elevación de Privilegios Lograr cuenta de Administrador 4-Ataque en si mismo Robo de datos, destrucción del sitio web, etc. 5-Enmascaramiento Borrado de rastros del ingreso y ataque Ataque paso a paso Estado del ataque Ejemplo de Acciones
Técnicas de Ataque El uso de herramientas y de la información para crear un perfil completo de la postura de la seguridad de una organización. Footprinting El atacante usa herramientas y la información obtenida para determinar qué sistemas estas vivos y accesibles desde Internet así como qué puertos están escuchando en el sistema. Scanning Uso de herramientas para obtener la información detallada (servicios ejecutándose, cuentas de usuario, miembros de un dominio, políticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo Enumeration
Técnicas de Ataque Después que el atacante tiene identificado y accede al trafico del firewall que puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro equipo detrás del firewall en otro puerto (3389). Port Redirection Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podría utilizar l0phtcrack y extraer los usuarios y passwords exactos. Gaining Access
Técnicas de Ataque Un hacker puede causar la mayoría del daño consiguiendo privilegios administrativos en una red. Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest. Privilege Escalation Remote Administration Tools Eso permite que un usuario remoto realice cualquier acción remotamente vía un puerto a su elección sin un usuario local del sistema que lo habilite. Ejemplo: Sub7 es el más popular / NT Rootkit es el más avanzado
Footprinting – El servicio WHOIS El servicio “WHOIS” es uno de los tantos servicios de información disponible en Internet. Con él se puede obtener información sobre direcciones IP y nombres de dominio, por lo que es muy utilizado por los atacantes para obtener información a la hora de planificar un ataque. Existen numerosos servidores whois ya que los registros de dominios están descentralizados, pero usualmente existe al menos uno por cada código de país. (.ar, .ru, .es, etc.)
Footprinting – El servicio WHOIS En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la información está disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canadá; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de América Latina y el Caribe y el servidor RIPE NCC (Reséaux IP Européens Network Cordination Centre) para las europeas.
Footprinting – El servicio WHOIS ACCEDIENDO AL SERVICIO: Para acceder al servicio whois solo hace falta la herramienta “telnet” y su única función será la de establecer una conexión TCP mediante el puerto 43 con el servidor del que se va a requerir la información. Usando el comando $ telnet servidorwhois 43 se creará la conexión entre nuestro sistema y el servidor whois
Footprinting – El servicio WHOIS Petición realizada sobre google.com
Footprinting – El servicio WHOIS Petición realizada sobre google.com enviada a whois.alldomains.com
Footprinting – El servicio WHOIS Petición realizada sobre una IP enviada a whois.lacnic.net
Footprinting – El servicio WHOIS Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.
Fraudes Estas conductas consisten en la manipulación ilícita, a travésde la creación de datos falsos o la alteración de datos oprocesos contenidos en sistemas informáticos, realizada conel objeto de obtener ganancias indebidas. Omitiringresar datos verdaderos Ingresar datos falsos manipulacióndel input interferir en el procesamientode la información alterar el programa modificar los programasoriginales adicionar programas especiales manipulacióndel output
Fraude Corporativo • Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos. • Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial. • Menos del 10% de los casos son denunciados a la justicia. • Las compañías optan por deshacerse del empleado infiel buscando una solución puertas adentro, lo que implica, muchas veces, el pago de una jugosa indemnización. • La defraudación es el delito mas extendido dentro de las empresas.
Fraude Corporativo • En la Argentina las pérdidas ascendieron a U$S 2,7 millones en los últimos dos años. • En Latinoamérica 9 de cada 10 empresas padecen malversación de fondos. • Siguiendo un orden jerárquico los delitos se agravan a medida que se asciende en la estructura de una corporación. • Actualmente se recupera menos del 20% de la pérdida, mientras que el 40% de las empresas no recupera nada.
Fraude Corporativo • Los fraudes cometidos por ejecutivos causan pérdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. • El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. • Mas del 50% de los fraudes se descubren por denuncias anónimas. • Para prevenirse deben utilizarse procedimientos de análisis y verificación no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las huellas detectables.
Top Five de las Ciberestafas El engaño consiste en enamorar por e-mail a un hombre, en la mayoría de los casos mayor y con la excusa de querer conocerlo le hacen que pague los gastos ocasionados por el viaje, regalos, traductores, etc. y por supuesto la supuesta “novia por correo” nunca aparece. Fraude en sitios de Solos y Solas Se le ofrece a una empresa realizar exportaciones de gran volumen a Nigeria, para poder lograrlo debe abonar previamente tasas aduaneras, impuestos, etc. Las ofertas se realizan desde E-Mail gratuitos de Europa. Inversiones en Nigeria
Top Five de las Ciberestafas Algunos mercados virtuales ofrecen una amplia selección de productos a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que reciban algo con menor valor de lo que creía, o peor todavía, que no reciba nada. Las subastas En algunos sitios para adultos, se pide el número de la tarjeta de crédito con la excusa de comprobar que el usuario es mayor de 18 años. El verdadero objetivo es obtener los números de tarjeta para realizar otras operaciones. Páginas para adultos
Top Five de las Ciberestafas Se le ofrece un sistema infalible para obtener el password de una cuenta de hotmail enviando un mail a una cuenta forgot_pass@hotmail.com, colocando en el subject la dirección de correo a hackear y el nombre de usuario y password propio. Manual para Hackear Hotmail Algunas otras Ciberestafas Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa - Productos y servicios milagrosos - Venta de pasajes de avión – Bancos Falsos en Internet - Venta y Alquiler de propiedad.
Otros Delitos Informáticos Delitos informáticos contra la privacidad Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos Esto es que alguien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Ej: Base de Datos A.N.Se.S. – Veraz – Padrones
Otros Delitos Informáticos Intercepción de e-mail:En este caso es equiparable a la violación de correspondencia, y la intercepción de telecomunicaciones, por lo que la lectura de un mensaje electrónico ajeno reviste la misma gravedad. Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. Crimen Organizado Transnacional: para la coordinación de • Tráfico de drogas • Tráfico de armas • Tráfico de personas • Lavado de dinero • Tráfico de tecnología y material nuclear, químico y bacteriológico
Otros Delitos Informáticos Espionaje:Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico secreto, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.
Seguridad de la Información NORMA IRAM-ISO IEC 17799
Seguridad de la Información La información es un recurso de valor estratégico para las empresas y como tal debe ser debidamente protegida. Las políticas de seguridad de la información protegen de una amplia gama deamenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar losriesgos de daño y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la política de seguridad sean parte de la culturaorganizacional. Para esto, se debe asegurar un compromiso manifiesto de las máximas autoridades de la compañía para la difusión y consolidación de las políticas de seguridad.
Beneficios de implementar políticas de seguridad de la información • Consolidación de la seguridad como tema estratégico. • Planeamiento y manejo de la seguridad más efectivos. • Mayor seguridad en el ambiente informático y mejor reacción ante incidentes. • Minimización de los riesgos inherentes a la seguridad de la información. • Cuantificación de los posibles daños por ataques a la seguridad de la información.
Beneficios de implementar políticas de seguridad de la información • Orden en el trabajo bajo un marco normativo que evita la duplicación de tareas y facilita el intercambio de información. • Concientización global sobre la importancia de la seguridad de la información. • Mejora de la imagen. • Aumento de la confianza de terceros. • Mayor control de la información proporcionada a terceros. • Auditorías de seguridad más precisas y confiables.
¿Por qué basarse en la norma ISO/IRAM 17799? • Aumento de los niveles de seguridad en las organizaciones • Planificación de actividades • Mejora continua • Posicionamiento estratégico • Cumplimiento de normativas y reglamentaciones • Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones El Instituto Argentino de Normalización (IRAM), ha homologado en nuestro país la norma ISO 17799, como Norma ISO/IRAM 17799
Dos preguntas básicas relacionadas a políticas de Seguridad de la Información • ¿Cuánto tiempo insume el desarrollo de una Política de Seguridad? • ¿Es necesario incorporar personal especializado en seguridad de la información para cumplir con las definiciones en la materia?
Prejuicios a la hora de implementar políticas de seguridad de la información • La seguridad informática no afecta mi actividad. • La seguridad es una incumbencia del área informática • La información que manejamos no es objeto de ataques • Mi red es segura porque se encuentra protegida de ataques externos • Tenemos seguridad pues en la última auditoría no tuvimos observaciones críticas.
Prejuicios a la hora de implementar políticas de seguridad de la información • Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red. • El tiempo invertido en documentación debe ser descontado de las tareas habituales del personal destinado a la elaboración de la política. • Los recursos valiosos deberán ser apartados de la “línea de fuego” • Posibles conflictos políticos, comerciales o de relaciones humanas.. • No disponemos de personal especializado.
Seguridad de la Información OBJETIVO Proteger los recursos de información y la tecnología utilizada para suprocesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el finde asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad yconfiabilidad de la información. Asegurar la implementación de las medidas de seguridad,identificando los recursos, sin que ello impliquenecesariamente la asignación de recursos adicionales. Mantener la Política de Seguridad actualizada, a efectos de asegurar suvigencia y nivel de eficacia.
Seguridad de la Información RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal técnico, etc. sea cual fuere sunivel jerárquico son responsables de la implementación de las Política de Seguridad de laInformación dentro de sus áreas de responsabilidad, así como del cumplimiento por parte de su equipo de trabajo. La Política de Seguridad de la Información debe ser de aplicación obligatoria para todo el personal, cualquiera sea el área a la cual se encuentre afectado yel nivel de las tareas que desempeñe.
Seguridad de la Información ASPECTOS GENERALES • Organización de la SeguridadOrientado a administrar la seguridad de la información y establecerun marco de control • Clasificación y Control de ActivosDestinado a mantener una adecuada protección de los activos de Información. • Seguridad del PersonalOrientado a reducir los riesgos de error humano, comisión de ilícitos ouso inadecuado. • Seguridad Física y AmbientalDestinado a impedir accesos no autorizados, daños e interferencia a las sedes y/o la información.
Seguridad de la Información ASPECTOS GENERALES • Gestión de las Comunicaciones y las OperacionesDirigido a garantizar el funcionamiento correcto y seguro de las instalaciones deprocesamiento de la información y medios de comunicación. • Control de AccesoOrientado a controlar el acceso a la información. • Administración delaContinuidaddelasActividadesestá dirigido a contrarrestar las interrupciones de las actividades y proteger los procesoscríticos. • CumplimientoDestinado a impedir infracciones y violaciones de las políticas y legislación vigente.
Organización de las políticas deseguridad de la información • Revisar y proponer lapolítica y las funciones generales en materia de seguridad de la información. • Monitorear cambios significativos en los riesgos frente a las amenazas más importantes. • Supervisar la investigación y monitoreo de los incidentesrelativos a la seguridad. • Acordar y aprobar iniciativas, metodologías y procesos específicos relativos a la seguridad de lainformación deacuerdo a las competencias asignadas a cada área.
Organización de las políticas deseguridad de la información • Garantizar que la seguridad sea parte del proceso deplanificación de la información. • Evaluar y coordinar la implementación de controles específicos para nuevos sistemas o servicios. • Coordinar el proceso de administración de la continuidad de la operatoria de lossistemas de tratamiento de la información frente a interrupcionesimprevistas.
Responsabilidad Seguridad del Personal Seguridad Física y Ambiental. Seguridad en las Comunicaciones y lasOperaciones Control de Accesos Seguridad en el Desarrollo yMantenimiento de Sistemas Planificación de la Continuidad Operativa Comité de Seguridad de la Información Departamento Legal Cumplimiento Sanciones
Clasificación y Control de Activos Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administración de riesgos. Algunos ejemplos de activos son: • Activos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc. • Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. • Activos físicos: equipamiento informático (CPU, monitores, notebooks, módems), equipos de comunicaciones (routers, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. • Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).
Clasificación y Control de Activos • Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información. • Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública. • La información puede pasar a ser obsoleta y por lo tanto, será necesario eliminarla, para ello se debe asegurar la confidencialidad de lamisma hasta el momento de su eliminación • Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una Política predeterminada.
Clasificación y Control de Activos Objetivo: • Garantizar que los activos de información reciban un apropiado nivel de protección. • Clasificar la información para señalar su sensibilidad y criticidad. • Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Responsabilidad Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, y de definir las funciones que deberán tener permisos de acceso a la información.
Clasificación y Control de Activos • El nuevo valor de la información requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener: • LA CONFIDENCIALIDAD • LA INTEGRIDAD • LA DISPONIBILIDAD
Clasificación y Control de Activos CONFIDENCIALIDAD 1 PUBLICO- Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado o no. 2 USO INTERNO- Información que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la entidad o terceros. 3 CONFIDENCIAL- Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas para la entidad o terceros. 4 SECRETA- Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves para la entidad o terceros.