La charla expone las debilidades más frecuentes en las administrciones públicas que son aprovechadas por los atacantes para acceder a información sensible de las mismas y posibles soluciones.
Esta es una ponencia divulgativa que preparó Florencio Cano, de SEINHE, para presentar en el congreso anual que ISACA Valencia organiza en esta ciudad.
Hackers en los sistemas de las administraciones públicas
1. Hackers en los sistemas de las
administraciones públicas: cómo y
para qué
Florencio Cano Gabarda
Responsable de seguridad online de ISACA Valencia
CISA, 27001 Lead Auditor, CEH, perito judicial
informático
2. ACTUALIDAD
Los ataques contra todo tipo de organizaciones se han
multiplicado
Especialmente las AAPP tienen que defenderse de los
ataques de los denominados “hacktivistas”
2
3. MOTIVACIÓN
Black Hat Hackers
Script Kiddies
Hacktivistas
Hackers financiados por gobiernos
Espionaje
Ciberterroristas
3
4. TIPOS DE ATAQUES
Ataque contra la disponibilidad de sistemas
Intrusión desde el exterior
Acceso a información sensible desde el interior
4
5. ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS
También llamados de denegación de servicio (DoS) o de
denegación de servicio distribuidos (DDoS)
Muchos usuarios se ponen de acuerdo para acceder
simultáneamente a un recurso, colapsándolo
Uso de herramientas que generan muchas peticiones en un
intervalo corto de tiempo (LOIC)
Uso de botnets
5
6. PROTECCIÓN ATAQUE CONTRA LA DISPONIBILIDAD
DE SISTEMAS
Uso de redes CDN
Distribución de contenidos global
Se minimiza el impacto de ataques distribuidos porque se
dividen los usuarios en grupos que atienden nodos distintos
Nodos tratan de ocultan ubicación real del servidor origen
6
7. ATAQUES DESDE EL EXTERIOR
Más complejos que los anteriores
El objetivo es acceder a información confidencial no solo
colapsar un servicio
Atacantes más expertos y especializados
7
9. SERVICIOS ABIERTOS EN EL PERIMETRO
Toda AAPP, para funcionar, debe disponer de algunos
servicios abiertos en el perímetro de su red:
–
–
–
–
–
–
VPN
Correo electrónico
SSH
Escritorio remoto
Citrix
Servidores web
9
10. SERVICIOS ABIERTOS EN EL PERIMETRO
Toda AAPP para funcionar debe disponer de algunos servicios
abiertos en el perímetro de su red.
Detrás de cada servicio hay un software servidor a la escucha
Este software servidor está programado por personas y, por
tanto, tiene fallos
Los atacantes aprovechan esos fallos para saltarse medidas
de seguridad de los programas o directamente para
manipularlos para que hagan lo que ellos quieran
10
11. ¿CÓMO AVERIGUAN ESOS FALLOS?
Las mismas empresa que desarrollan el software los publican
cuando ya han corregido el fallo en la siguiente versión
O si no los publican pero corrigen el fallo, los atacantes
averiguan el fallo viendo la corrección
O pueden averiguarlos ellos mismos y no hacerlos públicos…
son los denominados 0days
11
12. ¿CÓMO PROTEGERNOS CONTRA ESTE TIPO DE
FALLOS? disponer de un buen procedimiento de instalación de
Se debe
actualizaciones de seguridad
– Esto reduce el tiempo que estaremos desprotegidos (desde que se
publica el parche hasta que instalamos)
Se debe tener la menor cantidad posible de servicios
publicados en el perímetro
El software servidor debe ejecutarse lo más aislado posible y
con los menores permisos posibles. Esto reducirá el impacto
12
13. LA PÁGINA WEB
Actualmente es el servicio con mayor probabilidad de ser
“hackeado”
Muchas fugas de información en AAPP vienen por problemas
de seguridad en la web
Muchos servicios de la sociedad de la información se ofrecen
a través de aplicaciones web
13
14. ¿CUÁL ES EL PROBLEMA DE LAS APLICACIONES
WEB?
Si están basadas en un software, como un CMS (Liferay,
Joomla, Drupal) tiene fallos conocidos
– Los atacantes buscan páginas con estos CMS por sus
fallos conocidos
Si se desarrollan desde 0: Habrá más problemas de seguridad
pero menos conocidos
14
15. ¿POR QUÉ ES DIFÍCIL DESARROLLAR APLICACIONES
WEB SEGURAS?
La seguridad 100% no existe
Los desarrolladores deben tener formación específica para
evitar fallos de seguridad. El sentido común no sirve.
Los equipos de testing típicos son expertos en probar
funcionalidad y rendimiento pero no seguridad
Los defensores deben proteger todas las vías de entrada, los
atacantes solo deben encontrar una desprotegida
La seguridad muchas veces se deja para el final y entonces no
queda tiempo
15
16. ¿CUÁLES SON LOS FALLOS TÍPICOS EN LAS
APLICACIONES WEB? (FROM OWASP TOP 10 2013)
Inyecciones – SQL, LDAP, OS, HTML
Mecanismo de autenticación o gestión de sesión vulnerable
Cross-Site Scripting (XSS)
Referencias inseguras directas a objetos
Configuraciones inseguras
Exposición de información sensible
Ausencia de control de acceso a nivel de función
Cross-Site Request Forgery (XSRF)
Uso de componentes con vulnerabilidades conocidas
Redirecciones no validadas
16
17. ¿CÓMO REDUCIR EL RIESGO DE ESTE TIPO DE
VULNERABILIDADES?
Seguridad desde la fase de diseño de la aplicación
Análisis de vulnerabilidades a intervalos planificados o cuando se
realizan grandes cambios sobre la aplicación
Seguridad en profundidad
17
18. ACCESO A INFORMACIÓN SENSIBLE DESDE EL
INTERIOR
¡FUE UN HACKER!
Puede que no…puede que solo un trabajador descontento
La seguridad interna es fundamental
Las organizaciones suelen actuar más a posteriori, cuando el daño está
hecho, por impotencia
El coste entonces es mucho más elevado que el de la prevención
18
19. ¿CÓMO PREVENIR LOS ATAQUES INTERNOS?
Procedimientos de seguridad relacionados con los recursos humanos
Políticas y control de acceso
Sistemas de prevención de fuga de datos (DLP)
Sistemas SIEM
Formación y concienciación
19