Charla impartida por Pedro Sánchez de la empresa Conexión Inversa, en el evento "Asegura IT Camp2" que tuvo lugar los días 22, 23 y 24 de Octubre de 2010 en El Escorial
4. ¿Quienes somos?
Pedro Sánchez
Zaragoza, SPAIN
He trabajado en importantes empresas como
consultor especializado en Computer
Forensics, Honeynets, detección de
intrusiones, redes trampa y pen-testing. He
implantado normas ISO 27001, CMMI y
diversas metodologías de seguridad. También
colaboro sobre análisis forense informático con
las fuerzas de seguridad del estado y diversas
organizaciones comerciales.
También he participado en las jornadas
JWID/CWID organizadas por el ministerio de
defensa, en donde obtuve la certificación nato
secret.
Actualmente soy miembro de la Spanish
Honeynet Project y trabajo en una gran
organización como es ATCA
5. ¿Quienes somos?
En el año 2001, se crea un equipo multidisciplinario con el objeto de
reducir el fraude en las las nuevas tecnologías.
Empezamos con una persona, aplicando controles, normas y
metodologías.
Ahora somos un conjunto de personas/áreas de la empresa, en todas las
especialidades de la seguridad informática.
Somos personas=profesionales. Lo que hacemos nos gusta, nada ni
nadie nos impone (solo reportamos al Director General.)
8. ¿Para quien trabajamos?
ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario
de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones
departamentales.
Durante toda su trayectoria se ha destacado por su apuesta firme por la
innovación, las últimas tecnologías y la inversión en proyectos de I+D+i,
siendo una compañía pionera en el uso de Software Libre.
La seguridad es una de sus máximas prioridades, lo que le ha llevado a
convertirse en la primera entidad del sector financiero español en obtener
la máxima certificación para su sistema de gestión de seguridad de la
información, conforme a la norma ISO/IEC 27001.
También dispone de la certificación CMMI Nivel 5, siendo la única empresa
con capital Español con esta categoría
10. La seguridad tradicional ha muerto
Desactivar servicios
Quitar paquetes innecesarios
Cambiar banners
Firewalls de red
HIDS (Host IDS)
...
11. Si cambias tu banner...
Apache con PHP,
windows con .asp …
Da exactamente igual
12. ¿IDS's & IPS's?
No queremos añadir
un usuario a
/etc/passwd
No queremos una
shell
No nos interesa
escanear la red
13. Solo queremos una cosa:
'Vuestro dinero'
TARJETAS DE
CRÉDITO
COMPRAS
FRAUDULENTAS
EXTORSIÓN
14. ¿Y que ahí de los XSS, SQL-i?
Auditorías trimestrales
Escaneo manual y automatizado de XSS, SQL-
injection, ...
Lenguajes de programación cada vez más
seguros
Firewalls de aplicación (WEB, FTP, …) en
TODAS las entidades financieras
Mod-security
Juniper
...
15. La seguridad tal y como la
conocemos
HA MUERTO
SÓLO UN
COMPLETO
IGNORANTE
INTENTARÍA
ENTRAR EN UN
BANCO
24. Case 1
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace
'click' en un vinculo
sobre un falso
correo
2.- El servidor maligno le hace
entrega de una página falsa, que
simula al banco. En esta le pide el
nombre de usuario y contraseña
1
2
3.- El cliente
introduce los
datos y pulsa el
botón enviar
4.- El servidor maligno 'pilla' los
datos y los envía al servidor
legitimo
3 4
25. Case 1
•PASO 2:
3.- El cliente
recibe la página
con sus datos y
un campo más en
el que le piden el
DNI
2.- El servidor maligno
'parsea' los datos y los
maqueta dinámicamente sobre
una pagina en PHP que le sera
mostrada con todos los datos
del cliente
4.- El cliente
introduce los
datos y pulsa el
botón enviar
1.- El servidor legitimo valida
el nombre de usuario y
contraseña y muestra la
posición global y se la envía al
cliente
1
2
4 5
5.- El malo envia el
nuevo valor (dni) e
intenta hacer una
trasferencia
automatica
26. Case 1
•PASO 3:
3.- El cliente
recibe la página
con sus datos y
un campo más la
solicitud de su
token
2.- El servidor maligno
'parsea' los datos y los
maqueta dinámicamente sobre
una pagina en PHP que le sera
mostrada con todos los datos
del cliente
4.- El cliente
introduce los
datos y pulsa el
botón enviar
1.- Dado que este cliente es
VIP y dispone Token de un
solo uso le solicita el uso del
mismo
1
2
4 5
5.- El malo envia el
nuevo valor (token) y
realiza una
transferencia
automaticamente
36. ● El atacante roba el nombre de usuario y contraseña en línea
utilizando un software malicioso
● El atacante infecta el dispositivo móvil del usuario obligandole a
instalar una aplicación maliciosa bajo su desconocimiento total. Este
paso se realiza a través del envío de un SMS con un enlace
malicioso al móvil.
● El atacante inicia la sesión con las credenciales robadas obligando a
la autenticación a través de SMS. .
● Un SMS se envía al dispositivo móvil del usuario con el código de
autenticación. El software malicioso intercepta el SMS y lo reenvía a
otro terminal controlado por el atacante, sin dejar rastro de ello en el
terminal de la víctima.
● El atacante se apropia del código de autenticación y completa la
operación.
38. La armada
● Spectum:
● Servidor con relay abierto con una lógica que
captura correos en formato raw para su posterior
análisis en base a patrones.
● Ulises:
● Sonda espacial (araña) que busca en internet
nombres de dominios iguales a los que protegemos
en base a hash de imágenes.
● Perdido:
● Honeyweb, en base a un patrón de ataques a la
página web entra el atacante en modo simulación.
39. La armada
● Arwen:
● Servidores con una base de datos de tarjetas de
crédito
● Heracles:
● FTP's anónimos con objeto de recopilar lo que suben
los usuarios o delincuentes
● Rare:
● Wifi abierta
● Odin
● Nodo de salida de TOR
● Zeus
● Proxy abierto
44. Conclusiones
● Por mucho que pongamos medios y seguridad en los
sistemas de autenticacion seguimos pensando que el
usuario está en IRAK (nunca sabes cuando te va a
explotar)
● Tenemos un nuevo vector de ataque muy difícil de
superar. (seguimos pensando)
● Aun con todo hay que ser proactivos y tener artes
adivinatorias
● ¿Habrá que utilizar privilegios no administrativos en los
móviles.?
● Los ciberdelincuentes van ganando, hay que retomar la
seguridad y enfocarla a la conciencia
45. ● El hecho de disponer de sensores, nos ayuda
en el arte de la predicción.
● No solo debemos de tener tecnología, si no
disponer de capacidad analítica.
● Los clientes nos dan un buen 'feedback'
● Aumentemos la percepción de la seguridad en
la sociedad