1 / 38

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”.

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”. Marc Vilanova Consultor de Seguridad TIC Independiente. ¿Quién soy? Consultor de seguridad TIC Independiente 4 años de experiencia profesional Miembro del FIRST ( Forum of Incident Response and Security Teams )

urania
Download Presentation

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Malware, Malware y más Malware¿Cómo me puedo proteger? “Dijo el cliente web”. Marc Vilanova Consultor de Seguridad TIC Independiente

  2. ¿Quién soy? • Consultor de seguridad TIC Independiente • 4 años de experiencia profesional • Miembro del FIRST (Forum of Incident Response and Security Teams) • Miembro del APWG (Anti-Phishing Working Group) Marc Vilanova. Consultor de Seguridad TIC Independiente

  3. Evolución de los clientes Web • Panorama actual • Tecnologías y Funcionalidades • Riesgos. ¿Cuándo empeoran las cosas? • Consecuencias • Ataques comunes • Ataques reportados recientemente • ¿Quienes están detrás? Marc Vilanova. Consultor de Seguridad TIC Independiente

  4. ¿Porqué? • Configuración segura • Internet Explorer • Mozilla Firefox • Apple Safari • Otros • Recomendaciones Generales • Enlaces de Interés • ¿Preguntas? Marc Vilanova. Consultor de Seguridad TIC Independiente

  5. Evolución de los clientes Web • Web Browser TimeLine • Des del 1991 a día de hoy han nacido muchos navegadores • Algunos siguen en desarrollo: IE, MozillaFirefox, Apple Safari, Opera, etc. • Otros se quedaron en el intento: Cello, WebRunner/HotJava, etc. • Las tecnologías Client-Side también han ido evolucionando • HTML, DHTML, CSS, Cookies, ActiveX, JavaScript, VBScript, AJAX, Java, etc. • Mejora de la experiencia del usuario • Interfaces más atractivas Marc Vilanova. Consultor de Seguridad TIC Independiente

  6. Panorama actual • Uso muy frecuente del cliente Web • Nadie se acuerda de él cuando se habla de seguridad. ¿Porqué? • Las configuraciones por defecto que proporciona el fabricante no son seguras • Mejoran de la experiencia del usuario, pero…. • Aumenta el riesgo y disminuye el tiempo de ser comprometido • Es una pasarela perfecta para explotar vulnerabilidades del software • Navegador • Plug-ins (Realplayer, Quicktime, Adobe Flash, ...) • Sistema Operativo • Los atacantes ya se han dado cuenta hace tiempo. ¿Porqué seguimos sin hacer nada? Marc Vilanova. Consultor de Seguridad TIC Independiente

  7. Tecnologías y Funcionalidades: ActiveX • Microsoft Internet Explorer • Permite que las aplicaciones, en parte o su totalidad, sean utilizadas des del navegador • Aumenta la superficie de ataque • Componentes que residen en el Sistema Operativo o se pueden descargar on-line • Funcionalidad extra • Pueden reducir la seguridad del sistema si no existe una buena implementación • Se pueden explorar aunque no hayan sido diseñados para ser usados en el navegador • Ver http://www.kb.cert.org/vuls/id/680526 • CERT/CC ActiveX WorkShop Report • ActiveX Vulnerabilities DB Marc Vilanova. Consultor de Seguridad TIC Independiente

  8. Tecnologías y Funcionalidades: Java • Lenguaje que permite el desarrollo de contenido activo para páginas web • Independiente del sistema operativo • Usa la JVM para la ejecución del código Java o Applet en un entorno "controlado" (sandbox) • Algunas implementaciones contienen vulnerabilidades no corregidas a día de hoy • Aunque el código esté signado, es posible saltarse las restricciones • Java Vulnerabilities DB Marc Vilanova. Consultor de Seguridad TIC Independiente

  9. Tecnologías y Funcionalidades: JavaScript y VBScript • JavaScript • Lenguaje de scripting que permite hacer que las páginas web sean más interactivas y mas cosas… • Muy extendido y usado • VBScript • Lenguaje de scripting para Microsoft Internet Explorer • Similar a JavaScript • Incompatibilidad = Menos usado Marc Vilanova. Consultor de Seguridad TIC Independiente

  10. Tecnologías y Funcionalidades: Cookies • Ficheros almacenados en la parte cliente que contienen información sensible • Páginas Web visitadas • Credenciales de acceso • Etc. • El programador Web decide QUE información se almacenará en ellas • Tipos: • Sesión. Se destruyen cuando se cierra el navegador • Persistentes. Se destruyen cuando caducan (Más riesgo) • Los atacantes intentaran hacerse con ellas con el fin de robar información Marc Vilanova. Consultor de Seguridad TIC Independiente

  11. Tecnologías y Funcionalidades: Plug-ins • Aplicaciones diseñadas para ampliar la funcionalidad del navegador • Parecidos a ActiveX, pero no se pueden ejecutar fuera del navegador • Realplayer, Quicktime, Adobe Flash, etc. • Pueden contener Buffer Overflows o provocar violaciones de Cross-domain Marc Vilanova. Consultor de Seguridad TIC Independiente

  12. Riesgos. ¿Cuándo empeoran las cosas? • Cuando el usuario no evalúa el riesgo asociado al “click” del ratón • Riesgo = Ir a sitios inesperados • Cuando aparecen nuevas vulnerabilidades en actualizaciones de software • Cuando los ordenadores vienen con software pre-instalado • Revisar siempre • Eliminar si no es necesario • Cuando el software de terceros no dispone de actualizaciones automáticas • Páginas web que requieren de la instalación de software adicional • Plug-ins, Codecs, etc. • Cuando el usuario no tiene los conocimientos para una correcta configuración • Educar al usuario. Proporcionarles el conocimiento • Cuando los usuarios no están dispuestos a activar/desactivar funcionalidades a cambio de seguridad Marc Vilanova. Consultor de Seguridad TIC Independiente

  13. Consecuencias • Toma de control • Robo de información • Credenciales de acceso • Documentos • Etc. • Destrucción de ficheros • Extorsión CryptoViral • Pasar a formar parte de una Botnet o Fast-Flux Service Network Marc Vilanova. Consultor de Seguridad TIC Independiente

  14. Botnets “A botnet is a collection of computers, connected to the internet, that interact to accomplish some distributed task.” (http://www.shadowserver.org/) • Típicamente usadas para realizar actos ilegales • Spam, DoS, DDoS (Estonia), Robo de Identidad (Phishing, Keyloggers), [Ad|Spy]ware, Scaneos de Red, Ataques massivos RFI (RemoteFileInclusion) (recientemente), etc... • Controladas por una o más personas (BotMaster o BotHerder) • Estructura de Command & Control (C&C) • Mecanismos de control basados en HTTP (NetHell/Limbo), IRC, P2P (StormWorm. + de un año). • + de 10.000 bots en una botnet es no es nada raro Marc Vilanova. Consultor de Seguridad TIC Independiente

  15. Ataques Comunes • XSS (Cross-side Scripting) • Se aprovecha de la confianza que el cliente Web tiene con la página Web • Robo de información, bypass de autenticación, etc. • XSS Vulerabilities DB • CSRF (Cross-sideRequestForgery) • Se aprovecha de la confianza que la página Web tiene con el cliente Web • Modificar la configuración de un cortafuegos que se administra via Web • Cross-Zone y Cross-Domain • Acceso a datos de otro domino • Acceso a ficheros locales • Cross-zone and cross-domainvulnerabilities DB Marc Vilanova. Consultor de Seguridad TIC Independiente

  16. Ataques reportados recientemente • Massive Malicious JS Injection Campain • "xprmn4u.info/f.js" contained in about 83,000 sites • “free.hostpinoy.info/f.js” contained in about  177,000 sites. • Otros casos relacionados • uc8010.com • 2117966.net • ¿Cuál es el objetivo final? Comprometer nuestro sistema • Massive SQL Injection Attack • Modificación de las variables VARCHAR de las BBDD para inyectar tags HTML Script • hxxp://www.2117966.net/fuckjp0.js • http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080320) Marc Vilanova. Consultor de Seguridad TIC Independiente

  17. Código JavaScript Malicioso Ofuscado • Evasión de los sistemas • AntiVirus • IDSs • IPSs • Gracias a la naturaleza dinámica de JavaScript Marc Vilanova. Consultor de Seguridad TIC Independiente

  18. ¿Quiénes están detrás? • CyberCrime Executives (Data Brokers / Carders) • Spammers (Pump-and-Dump Stocks, Products, Phishing, Malware) • Web Site Hackers and Malware Writers • Bot Herders • Criminal ISPs (RBN. Russian Business Network) • Bullet-proof services • St. Petesburg -> Panama -> Asia • ¡¡¡ YOU !!! • Spam through botnets • Malware through infected websites Marc Vilanova. Consultor de Seguridad TIC Independiente

  19. ¿Porqué? • ¡¡¡DINERO!!! • Software requerido • MPack (Web Attack Toolkit): $300-500 • Dream Downloader: $200-300 • Limbo/NetHell (Banking Trojan, keylogger, etc.): $1000 • Inversión Total de $1500-$1800 • ¿Beneficios? Millones de dólares • Capacidad para atacar, al mismo tiempo, más de 500 bancos a nivel mundial Marc Vilanova. Consultor de Seguridad TIC Independiente

  20. Configuración Segura: Internet Explorer 7 • Totalmente integrado en MS Windows • ¿Donde? Herramientas -> Opciones de Internet -> Seguridad • Zonas de Seguridad • Internet (High) • No ActiveX • No Active scripting • No Java • Local Intranet • Trusted Sites (Medium-High) • Restricted Sites • Nivel personalizado por zona Marc Vilanova. Consultor de Seguridad TIC Independiente

  21. Configuración Segura: Internet Explorer 7 • Privacidad • Cookies • Advanced -> Override automatic cookie handling • Prompt for first and third party cookies • Allow session (not persistent) cookies enabled, if there is a lot of prompts • Sitios • Gestionar las cookies por URL Marc Vilanova. Consultor de Seguridad TIC Independiente

  22. Configuración Segura: Internet Explorer 7 • Disable third-party browser extensions • Tool Bars • BHOs (Browser Helper Objects) • Usados por los Troyanos para: • Monitorizar el tráfico • Man-in-the-Middle Attacks Marc Vilanova. Consultor de Seguridad TIC Independiente

  23. Configuración Segura: Internet Explorer 7 • IDN spoofing of web page addresses • Enable the "Always show encoded addresses" option (http://www.kb.cert.org/vuls/id/273262) • Disable the Play sounds in webpages • No provoca interferéncias con otros softwares, cómo Adobe Flash or Apple QuickTime Marc Vilanova. Consultor de Seguridad TIC Independiente

  24. Configuración Segura: Internet Explorer 7 • Programas • Especificar cuales van a ser los programas asociados a los diferentes eventos • Deshabilitar que se nos pregunte si IE es el navegador por defecto Marc Vilanova. Consultor de Seguridad TIC Independiente

  25. Configuración Segura: Mozilla Firefox • No dispone de soporte para ActiveX • No dispone del modelo de Zonas de Seguridad • CAPS • Políticas de seguridad • No gràfico Marc Vilanova. Consultor de Seguridad TIC Independiente

  26. Configuración Segura: Mozilla Firefox • Tools -> Options • General • Always ask me where to save files • Privacidad (History & Cookies) • Entornos compartidos • Disable the option “Remember what I enter in forms and the search bar” • Control granular (Deny, Allow for Session, or Allow the cookie) • Use my choice for all cookies from this site • Keep until I close Firefox option. (Si hay muchas peticiones) Marc Vilanova. Consultor de Seguridad TIC Independiente

  27. Configuración Segura: Mozilla Firefox • Security • Passwords • Master Password to encrypt sensitive data • Warn me when sites try to install add-ons (Show a top bar when a site tries to take an action) Marc Vilanova. Consultor de Seguridad TIC Independiente

  28. Configuración Segura: Mozilla Firefox • Content • Enable/Disable Java. Revisar primero la web • Advanced • JavaScript. Todo desabilitado • File Types (Manage) • Asociacion de tipo de fichero con programas • Para todos los ficheros asociados -> save to disk • Previene la explotación automàtica • Aumenta el número de acciones al usuario Marc Vilanova. Consultor de Seguridad TIC Independiente

  29. Configuración Segura: Mozilla Firefox • Firefox 1.5 i posteriores • Herramientas -> Limpiar información privada • Extensiones interesantes • NoScript • Zonas de Seguridad • FireKeeper (Web IDS) • Known infected sites (http://malware.com.br/) • Scanning of HTTP(S) URL requests, Headers and Body. • Fast Pattern matching algorithm (SNORT) Marc Vilanova. Consultor de Seguridad TIC Independiente

  30. Configuración Segura: Apple Safari • Safari -> Preferencias • General • Save downloaded files to… • Disable Open “safe” files after downloading • AutoFill tab • Filesystem encryption software such as OS X FileVault along with the use secure virtual memory Marc Vilanova. Consultor de Seguridad TIC Independiente

  31. Configuración Segura: Apple Safari • Security • Web Content (Scripting and active content) • Disable Plug-ins, Java and JavaScript • Activar el bloqueo de ventanas pop-up • Cookies • Sólo de sitios que estoy navegando, no de terceras partes (Ads) • Activar "Ask before sending a non-secure form to a secure website“ • Activar el aviso antes de mandar datos no cifrados de un formulario cuando se visita un site securizado con HTTPS Marc Vilanova. Consultor de Seguridad TIC Independiente

  32. Configuración Segura: Otros • Opera • Mozilla SeaMonkey • Konqueror • Netscape Marc Vilanova. Consultor de Seguridad TIC Independiente

  33. Recomendaciones Generales • Activar SIEMPRE las actualizaciones automáticas cuando el software lo permite • Mantenerse informado sobre los cambios del software • Página Web Oficial del fabricante • Listas de correo • Instalar y usar software AntiVirus (No protege contra todo el código malicioso) • Seguir el principio de: “No lo habilites sino lo necesitas” • Usar cuentas con privilegios limitados • Administrador para la gestión y el mantenimiento del SO y software • Usuario sin privilegios para el uso diario • Usar DropMyRights • Educar al usuario para evitar comportamientos inseguros • Seguridad a nivel DNS – Proyecto OpenDNS Marc Vilanova. Consultor de Seguridad TIC Independiente

  34. Enlaces de interés (I) • CERT/CC References (http://www.cert.org/) • US-CERT Browser Security (http://www.us-cert.gov/reading_room/securing_browser) • NSA (National Security Agency) Security Guides • OWASP  Top Ten • SANS Top 20 • Microsoft Windows XP References • Improve the safety of your browsing and e-mail activities (http://www.microsoft.com/athome/security/online/browsing_safety.mspx) • Microsoft's Protect Your PC (http://www.microsoft.com/protect/) • Microsoft Windows XP Baseline Security Checklist (http://www.microsoft.com/technet/archive/security/chklist/xpcl.mspx) • Setting Up Security Zones (http://www.microsoft.com/windows/ie/using/howto/security/setup.mspx) Marc Vilanova. Consultor de Seguridad TIC Independiente

  35. Enlaces de interés (II) • Apple Macintosh OSX References • Apple Product Security (http://www.apple.com/support/security/) • OSX Security Features Overview (http://www.apple.com/macosx/features/security/) • Apple Security Updates (http://docs.info.apple.com/article.html?artnum=61798) • MacOSX Security Configuration (http://images.apple.com/server/pdfs/Tiger_Security_Config.pdf) • Linux References • Ubuntu Security notices (http://www.ubuntu.com/usn/) • Mandriva Security Advisories (http://www.mandriva.com/security/advisories) • SUSE Security (US/Canada) (http://www.novell.com/linux/security/securitysupport.html) • RedHat Security and Errata (http://www.redhat.com/apps/support/errata/) • Debian Security Information (http://www.debian.org/security/) • Gentoo Security Handbook (http://www.gentoo.org/doc/en/security/) • Slackware Security Advisories (http://www.slackware.com/security/) Marc Vilanova. Consultor de Seguridad TIC Independiente

  36. Enlaces de interés (III) • System Administrator References • Description of Internet Explorer security zones registry entries (http://support.microsoft.com/?kbid=182569) • How To Set Advanced Settings In Internet Explorer by Using Group Policy Objects (http://support.microsoft.com/?kbid=274846) • Internet Explorer Administration Kit (http://www.microsoft.com/technet/prodtechnol/ie/ieak) Marc Vilanova. Consultor de Seguridad TIC Independiente

  37. ¿Preguntas? Marc Vilanova marc.vilanova [at] gmail.com Consultor de Seguridad TIC Independiente

  38. ¡¡¡ MUCHAS GRACIAS !!! Marc Vilanova marc.vilanova [at] gmail.com Consultor de Seguridad TIC Independiente

More Related