Upload
david-pereira
View
93
Download
1
Embed Size (px)
Citation preview
FORO:AMENAZAS REALESDELMUNDOVIRTUAL
YCÓMOMITIGARLAS
Miércoles 27de juliode2016
DAVIDPEREIRA
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC,CICP,CCISO.
• +19AñosdeexperienciaenSeguridadInformáticayDFIR• HackerÉtico– Pentesterendiversasentidadesenelmundo,deámbitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomático,Minero,entreotros.
• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.
• ConferencistaInternacional
AGENDA– PrimeraSesión
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
o Ciberseguridado TérminosComuneso Vectoresdeataquetécnico
o Phishing(RobodeClavesyDatosSensiblesenVivo)o InyeccióndeSQL(DemostraciónenVivo)o AtaquesWEBAvanzadosdelLadodelCliente(DemostraciónenVivo)o AtaquesaMóviles(CreacióndeMalwareparaAndroidenVivo)o InternetdelasCosas(AccesoaDispositivosenelMundoenVivo)
o VectoresdeataquesHumanos- Ingeniería social(demostracionesenvivo)o Hackeandoalhumanoo Programaciónneurolingüísticao Lenguajenoverbal
o Amenazasdealtoriesgo(demostraciónenvivo)o Malwareindetectable
Miércoles 27 de julio de2016
CIBERSEGURIDAD
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Estrategias Políticas Estándares
SeguridaddelasOperacionesenelCiberespacio
ReduccióndeAmenaza
ReduccióndeVulnerabilidad DisuaciónAseguramiento
delaInfo.RespuestaaIncidentesResiliencia Recuperación
deDesastres
Miércoles 27 de julio de2016
GLOSARIO
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
Ciberamenaza:Actividadmaliciosapotencialquepuedeocurrirenelciberespacio.
ElAtacantedebecontarcon:
Ciberataque:Asaltoqueaprovechauna vulnerabilidadenunsistema conectadoalCiberespacio.
Oportunidad Capacidad Intención
CONCEPTOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Amenaza:Peligropotencialdequeocurraalgúneventoadversoquepuedaafectarlaprestacióndeunservicio.
Vulnerabilidad:Debilidadexistentepor:Diseño,Desarrollo,Implementación,Configuracióndeunaaplicaciónoservicioquepuedeseraprovechadaporunpotencialatacanteparatomarventajadeella.
Miércoles 27 de julio de2016
CONCEPTOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Ataque:AsaltodirectoaunsistemaosuscomponentesquepuedanafectarlaIntegridad,DisponibilidadoConfidencialidaddelainformación.
Malware:Tipoespecíficodesoftwarecreadoconpropósitosdañinos,maliciososeinclusoeconómicos.Ej.Ransomware,Rootkit,Troyano,Sparse,Oligomorficos.
Miércoles 27 de julio de2016
EJEMPLOSDEVECTORESDEATAQUE
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Phishing:Falsificacióndeunsitiowebconelobjetivoderecibirlasolicituddeloginoaccesodeunusuarioquehallegadoaélpormediodeunenlacemaliciosoenuncorreoelectrónicoounataquederedireccionamiento,afinderobarsuscredencialesoinformaciónprivilegiada.
InyecciónSQL(SQLi)AtaquequetomaventajadefallosenlaprogramacióndeunsitioWEBounaaplicación,pormediodelafaltadesanitizaciónenelinputdedatosenunsitiooporfallosdeverificaciónbooleanadelosvaloressuministrados.
Miércoles 27 de julio de2016
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelClienteMúltiplesataquespuedensergeneradoscontraelclientealnavegarunsitioWEB;algunosejemplosson:
Inyección(LDAP,SQL,Comandos)Ocurrecuandodatosnoconfiablessonenviadosaunintérpretecomopartedeuncomandooconsulta.Losdatoshostilesdelatacantepuedenengañaralinterpreteenejecutarcomandosnointencionadosoaccederdatosnoautorizados.
EJEMPLOSDEVECTORESDEATAQUE
Miércoles 27 de julio de2016
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
XSSLasfallasXSSocurrencadavezqueunaaplicacióntomadatosnoconfiablesylosenvíaalnavegadorwebsinunavalidaciónycodificaciónapropiada.XSSpermitealosatacantesejecutarsecuenciasdecomandosenelnavegadordelavictimaloscualespuedensecuestrarlassesionesdeusuario,destruirsitiosweb,odirigiralusuariohaciaunsitiomalicioso.
EJEMPLOSDEVECTORESDEATAQUE
Miércoles 27 de julio de2016
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
XSS
EJEMPLOSDEVECTORESDEATAQUE
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
CSRFUnataqueCSRFobligaalnavegadordeunavictimaautenticadaaenviarunapeticiónHTTPfalsificada,incluyendolasesióndelusuarioycualquierotrainformacióndeautenticaciónincluidaautomáticamente,aunaaplicaciónwebvulnerable.Estopermitealatacanteforzaralnavegadordelavíctimaparagenerarpedidosquelaaplicaciónvulnerableasumecomopeticioneslegítimasprovenientesdelavictima.
EJEMPLOSDEVECTORESDEATAQUE
Miércoles 27 de julio de2016
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
CSRF
EJEMPLOSDEVECTORESDEATAQUE
SitioMalicioso.com
1.ElClientenavegaunsitioLegitimo
2.ElClientevisitaunsitiomaliciosogenerandounasesiónenotrapestaña.
3.Pormediodelasesiónestablecida,conelcliente,elsitiomaliciosoenvíapeticionesalsitiolegitimoennombredelavictima
SitioLegitimo.com
Miércoles 27 de julio de2016
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
JavaScriptAlnavegarunsitio,seejecutandemaneraautomáticamúltiplescódigosdetipoScript.Estopuedeserutilizadoparagenerardiversosataques,desdecapturardatoshastaejecutarcomandosdeSistemaOperativoenlamáquinavíctima.
EJEMPLOSDEVECTORESDEATAQUE
Miércoles 27 de julio de2016
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
AtaquesWEBdelladodelCliente
SessionFixationUnatacantepuedeenviarporcorreoelectrónicounasesiónpreviamenteestablecidaconunidgeneradoparaelatacanteycuandolavíctimahagaclicksobreelenlacevaaserdirigidoalsitiopararecibirsuscredencialesperovaaloguearseconeliddesesióndelatacante.
EJEMPLOSDEVECTORESDEATAQUE
Miércoles 27 de julio de2016
EJEMPLOSDEVECTORESDEATAQUE
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
MalwareenDispositivosMóviles:
Casitodoelmalwaredemóvilesseorientaamonetización;Tenemos:
• TroyanosBancarios(CapturadeTAN)ej. Trojan-Spy.AndroidOS.SmsThief.fc• Ransomware• PublicidadAgresiva• ReempaquetadodeAplicaciones
Miércoles 27 de julio de2016
EJEMPLOSDEVECTORESDEATAQUE
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
InternetdelasCosas(IoT)
Lainsaciablenecesidaddeinterconectarnuestravidageneranuevosvectores:(SmartTV,RelojesInteligentes,CámarasWEB,etc.)
EstofacilitalavidadelosatacantesysesumaquelosdispositivosIoTnoestánorientadosalaSeguridadsinoalafuncionalidad,generandotráficosinencriptar,almacenamientoinseguro,funcionespordefecto,etc..
Miércoles 27 de julio de2016
VECTORESDEATAQUEAHUMANOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
HackeandoalHumano
Lanaturalezadelaspersonasesconfiarlosunosenlosotros,ydeesosevalelaIngenieríaSocial,quepodemosdefinircomo:ElArtedelEngaño;Seutilizapararecabarinformaciónquenormalmenteunapersonanocompartiría.
AlgunasTécnicas:DumpsterDivingTailgatingPiggyBacking
Miércoles 27 de julio de2016
VECTORESDEATAQUEAHUMANOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
ProgramaciónNeurolingüística(PNL)
Estastécnicassepuedenutilizarparatratarde:1.Detectarlaveracidaddelasrespuestasdeunapersona2.DeterminarelniveldeConvencimientoqueseestálogrando3.Influenciaralapersonaparalograrunobjetivo
Miércoles 27 de julio de2016
VECTORESDEATAQUEAHUMANOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
ProgramaciónNeurolingüística(PNL)
Miércoles 27 de julio de2016
VECTORESDEATAQUEAHUMANOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
LenguajeNoVerbalNuestrocuerpoyexpresionesnomienten!Pormediodeesteconocimientopodemosdeterminarfactoresdeconexiónodesconexióndeunapersonaparaconsuinterlocutor,nivelesdestress,comodidad,aprehensión,etc..
Sebasaenreaccioneslímbicasquenocontrolamosconscientemente.
Miércoles 27 de julio de2016
AMENAZASDEALTORIESGO
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
MalwareIndetectableExistenmuchasamenazasdealtoriesgoparaunusuariofinal,peropensamosqueunadelasmáspeligrosasconsisteenelMalwarequeningúnmecanismodeAntimalwareodedetecciónestéencapacidaddecontramedirodetectar.
Tenemosmuchosejemplosdetécnicasavanzadasutilizadasparagenerarlaindetectabilidad,peromencionaremosalgunas:
1.Codificación,Ofuscación,Encripción2.SeparaciónEntreCabby,StubyPayload3.ShellScripting4.AntiHeurística5.AntiDebugging6.AltaLatencia
Miércoles 27 de julio de2016
PREGUNTAS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
DavidF.PereiraTwitter:@d4v1dp3r31r4Mail:[email protected]
Muchasgracias!!!!
Miércoles 27 de julio de2016
AGENDASEGUNDASESION
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
• Antiphishingparatodos• Prevención deAtaquesDNS(ReflejadoyAmplificado)• DeteccióndeAtaquesWEBparausuariosfinales• DeteccióndeAtaquesWEBparaAdministradoresyWebmasters• DeteccióndeAtaquesdeDoSyDDoS• MitigaciónEfectivadeAtaquesDoSyDDoS• AntimalwareAvanzadoparausuariosFinales• AntimalwareAvanzadoparaTI• Phishing• InyeccióndeSQL
Miércoles 27 de julio de2016
ANTIPHISHINGPARATODOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
ElPhishingcrecedíaadía,enunaprogresióngeométricaquetiendealinfinito;
Laúnicamaneraefectivadedefendernosesconcientizarnosydecidirnosernuncamásunavíctima;
TenemosciertosparámetrosquenospermitenidentificarelPhishingyalgunasherramientas.
QuedeboBuscar?(ValidezdelCertificadoSSL)
Herramientas:
NetcraftAntiPhishingToolbarPhishtank
Miércoles 27 de julio de2016
PREVENCIONDEATAQUESDNS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
ExistenmuchosataquescontralosServidoresDNS;
EntrealgunosdelosmáspeligrosostenemoselataqueReflejadoyAmplificadodeDNS:
Miércoles 27 de julio de2016
AtacanteHacespoofdelaIPdela
VictimaBotnetdelAtacante
PeticionesPequeñas
OrigenFalso
RespuestasAmplificadasdelosOpenResolvers
ServidorVictima
PREVENCIONDEATAQUESDNS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
PrevenciónyMitigación:
• NoRecursividadenNuestrosServidoresDNSAutoritativos
• VerificacióndeIpdeOrigen(AntiSpoofing)
• ListadeHostspermitidosodeconfianza
• ResponseRateLimiting
Miércoles 27 de julio de2016
DETECCIONDEATAQUESWEBPARAUSUARIOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
NoessimpleparaunusuarioellogrardetectarqueestarecibiendounataqueatravésdeunSitioWEB;
NoobstanteexistenalgunasherramientasyprocedimientosquepuedendisminuirelnivelderiesgodelUsuario;entreotrostenemos:
• SuitedeSeguridad• SentidoComún• SiempreDesconfiar
Herramientas:
• NoScript• Ghostery• BetterPrivacy• AdBlocker
Miércoles 27 de julio de2016
DETECCIONDEATAQUESWEBPARASYSADMINS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
UnSysadmintienealamanoherramientasquepermitenincrementarsuniveldeseguridadydisminuirelnivelderiesgo;algunosejemplosson:
• WAF• RegladosdeDetecciónFuertes• IPSIDS• Logging• Correlacionamiento• SIEM• ProxyTerminacionSSL
Miércoles 27 de julio de2016
DETECCIONDoSyDDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Tipos de Ataques DoS - DDoS
• TCP SYN Flood• TCP SYN - ACK Reflection Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack• HTTP and HTTPS Flood Attacks• INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
SynProxy
SYNProxy
Syn
Syn/Ack
Ack
ClienteLegitimo
Atacante
Syn- Spoof
Syn/AckhaciaelSpoof
AggressiveAging
CierredelasSesionesnocontestadas
X
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
Source Rate LimitingCuando hay un número limitado de ips origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos).Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded
Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo.Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos.Este aislamiento sólo se puede hacer en el hardware.
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
ConnectionLimitingDemasiadasconexionespuedencausarsobrecargaenunServidor.
Limitandoelnumerodesolicitudesdeconexionesnuevas,selepuededaralivioalServidor.
Estoselogradándolepreferenciaalasconexionesexistentesylimitandolassolicitudesdenuevasconexiones,permitiendounmejorusodelamemoriadelServidor
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
DynamicFilteringElfiltradoEstáticoesunatécnicacomúnenfirewalls,routers,etc..ysellevaacabopormediodeACL.
ElFiltradoDinámicoesrequeridocuandoeltipodeataqueylosatacantescambianconstantemente.
ElFiltradoDinámicoselograidentificandoloscomportamientosfueradelonormalycastigandoestecomportamientoporunperiodocortodetiempo,creandoreglasdeFiltradodecortaduraciónduranteelataqueyeliminándolasposteriormente.
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
GranularRateLimitingLosataquesDDoSsonimpredeciblesyenmuchasoportunidadessedirigenpormediodeBOTsyScripting;lospaquetesquelleganalServidorsondiferentesencadaocasión,;noobstantehaysimilitudesentrelospaquetesenunataqueindividual.LaTécnicaGRLidentificalastasasdetransferenciadeataquesanteriores;Losumbralessebasanencomportamientopasado,durantesesionesdeentrenamientoyseajustanadaptativamenteeneltiempo.LaGranularidadseaplicaaparámetrosdisponiblesenlasCapas3,4ylosencabezadosenlaCapa7;parámetroscomo:Origen,Destino,Puertos,MétodoHTTP,URL,Agentes,Cookies,HostReferrer
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
CountryBasedAccessControlLists(ACL)GranpartedeltráficoBotnetseoriginadesdeunnúmerolimitadodePaíses.EstosPaísesprobablementenoseanorigendetráficonormaldentrodelaOrganización;
PormediodeFiltrosbasadosenPaíses(IANA)sepuedereducirsignificativamenteeltráficoquerecibeelServidoryporendelaCarga,incluidotráficospoof.
EsrecomendablelaimplementacióndeestoscontrolesaniveldeHardwareynodeSoftwareportemasdedesempeño
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
DarkAddressScanPreventionLasdireccionesobscurassondireccionesipquenohansidoasignadasporlaIANA.(Bogon)CualquierpaqueterecibidodeunadeestasdireccionesnormalmenteestáasociadoaunataquequeinvolucraSpoofing.
• 108.8.180.1(whois- Info:IANAReserved)• 0.66.154.180(whois-Info:IANASpecialUse,RFC3330)• 248.4.49.192(whois-Info:IANASpecialUse,RFC3330)• 94.39.203.54(whois-Info:IANAReserved)
Miércoles 27 de julio de2016
MITIGACIONDoS- DDoS
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
GeoDNSPermiteredireccionarlasvisitasdecualquierclientedeacuerdoallugargeográficoendondeestaposicionado
MITIGACIONDoS- DDoS
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
PiladeMitigaciondeDoS/DDoS
ANTIMALWAREPARAUSUARIOS
FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS
LosUsuariosnotienenqueestarindefensosanteelMalwareAvanzado;AlgunasRecomendacionesson:
• SentidoComún• SuitedeSeguridad• CiberHigiene• RevisióndeEnlaces• UsodeSandboxWEB
• https://www.virustotal.com/es/• https://virusscan.jotti.org/• http://www.threatexpert.com/submit.aspx
• NoPromiscuidad• HIDS/HIPS• FileIntegrityMonitoring/Verifying
Miércoles 27 de julio de2016
ANTIMALWAREAVANZADOPARASYSADMINS
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
AniveldeTIpodemoscontarcon:
EndpointProtection(Symantec)ConsolaAntimalware(Symantec,Kaspersky,etc..)HIDS/HIPS(Consola)NIDS/NIPS(Consola)FileIntegrityMonitoring/Verifying(Tripwire)DetecciónAvanzada(Sandbox)(Symantec)
PROTECCIONSQLi
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
AlgunasrecomendacionesparaTIparaprotegersedelosataquesSQLi,son:
• UtilizarWAFycrearregladosfuertesenél• SymantecMalwareScan(IncluidoconelcertificadoSSL• AnálisisdeVulnerabilidadesSymantec(IncluidoconelCertificadoSSL)• PruebasEstáticasyDinámicasalcódigoFuentedelSitioweb• SanitizarelInputhaciaelSitio• DefensaenprofundidaddelaBasedeDatos
PREGUNTAS
Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO
VIRTUAL YCÓMOMITIGARLAS
DavidF.PereiraTwitter:@d4v1dp3r31r4Mail:[email protected]
Muchasgracias!!!!