You are on page 1of 7

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

19th May 2012

Seguridad informtica IV (Hacking y auditora)

Y llegamos a la cuarta y ul ma parte de esta saga que es una leve introduccin a seguridad Informa ce (y como dira el profe Hidalgo de Dibujo computarizado: hemos visto menos del 5%). En este cierre el obje vo es mostrar un amalgama de lo visto en los temas pasados y dar la introduccin al concepto de Auditora de seguridad. Corresponde a la cuarta cadena de la presentacin disponible en Prezi.com

Men rapido: Parte 1 - Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html] Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html] Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html] Parte 4 - Hacking y Auditora

[http://3.bp.blogspot.com/-QM-db5xt9Pk/T58oJf7PftI/AAAAAAAAANg/xSic8a2F99Q/s1600/seg01.png]
La presentacin en Prezi es pblica y de libre uso [http://prezi.com/rfutmm8dpzx1/introduccion-a-seguridad-perspectiva-de-un-programador-junior/] .

Vectores de ataques

Vectores de ataques
Durante las entradas anteriores hice mucho nfasis que en un S.O. no es sinnimo de seguridad y no es porque sea anti-Mac o pro-Microsoft ni nada por el estilo, si no que un ataque no necesariamente tiene que ser informtico para poder comprometer la integridad de los datos o inclusos equipos informticos completos. Esa combinacin de posibles ataques (la mayora caen en un termino denominado Ingeniera social) es la razn por la cual Android esta plagado de malware. No importa el hecho que este diseado con seguridad desde un inicio y que posea 22 bloques de control. Si el usuario final decide que quiere instalar esa App de Angry Birds porque es gratuita o llego creyendo que es la liga oficial ( Phising) y en realidad es un malware ese usuario ya vali quiote, su dispositivo mvil ha quedado comprometido, en un solo da puede perder todo su saldo antes SMS fortuitos, sus fotos pueden estar ahora en otros servidores y puede estar recibiendo chantajes por el sexting que practicaba.

1 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

Algo parecido puede apreciarse del caso del troyano de Flashback que tuvo impacto en el sistema operativo se cree lleg a controlar mas de medio milln de dispositivos vendidos por Apple, la vulnerabilidad explotada proviene de Java y si mediante estas vulnerabilidades no lo consegua se hacia pasar por un certificado de Apple Inc [http://www.genbeta.com/mac/es-falso-que-mac-sea-mas-seguro-por-ser-unix-entrevistamos-a-luis-corrons-sobre-flashbacky-la-seguridad-en-mac] . Y como se propago? Mediante otras tcnicas de ataques indirectos, al visitar paginas que pueden ser reales y no mal intencionados pero que han cado bajo control de otros (o parte de lo que despliegan), estos servidores tambin son complejos y al igual que con un usuario hay muchas formas de afectarles y desde ah intentar afectar a los usuarios que los visiten. Por ultimo, todo programa o proyecto siempre tendr alguna vulnerabilidad y algunas no sern evidentes (ni siquiera percibidas por sus creadores) y habr gente cuyo trabajo (legal o ilegal sin importar su tica) sea buscar como ejecutar esos exploits tan poco conocidos ya que hay mercado para sus compras. (Por Ej. El gobierno gringo al comprar en un cuarto de milln de dlar un exploit para iOS [http://www.zdnet.com/blog/security /us-government-pays-250000-for-ios-exploit/11044?tag=content;siu-container] ). Y no por ultimo viene el manejo adecuado de actualizaciones y parches crticos de seguridad, donde las compaas juegan un rol importante para proteger a los usuarios y estos vienen jugando el siguiente rol al actualizar (o no hacerlo) en el primer caso parece serle mas un estorbo a ciertas compaas que una obligacin mientras que en el segundo puede ser resultado de nuestra inhabilidad (por ejemplo licencia pirata de Windows 7 o de Adobe CS5) o falta de inters/memoria para realizar la actualizacin y es justamente por eso que muchos de los programas de solo hacer clic y robar contrasea o ejecutar Malware funcionan hoy en da (a pesar de ser amenazas bien conocidas) . En sntesis existen muchas formas de lograr la ejecucin de malware en un sistema y el S.O. no es garanta de seguridad total, incluso nuestros hbitos pueden jugar en nuestra contra y en otros casos podemos recibir ataques solo por navegar por nuestros sitios diarios.
[]

Ejemplos de ataques ( hacking no tico)


En toda las entradas pasadas he hecho mencin de exploits y de malware con los cuales se pueden lograr ciertos objetivos en la victima y pueden ser desde robar informacin sensible (que suele estar por encima de la capa del kernel) o ejecutar cdigo arbitrario (El cual puede ver limitado por el S.O.) o un ataque de escalamiento en privilegio para realizar los pasos anteriores. Y las herramientas para lograrlo cada vez son mas simples y por consecuente el nivel de conocimiento requerido mucho menor. Es decir, gran parte de los ataques hoy en da puede realizarse sin tener conocimientos y por aos fueron los principales tipos de ataques.

[http://2.bp.blogspot.com/-AqnY_BBDj9I/T7cfEUD6N7I /AAAAAAAAAPI/vYN3h1-pKiI/s1600/segiv_01.PNG]

2 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

Algunos ejemplos de sinfines de casos.

Con lo anterior viene una pregunta clave Qu tanto se requiere para hacer mucho dao? Y la respuesta es: Depende de todo un conjunto de eventos y manejos de parte del objetivos y los recursos de los atacantes. Para tratar de ello es que utilizo la imagen anterior Nivel de expertises para hacer dao. En ella estn de izquierda a derecha una escala de poco (izquierda) a mucho (derecha) requerimiento de Expertise para lograr ciertos ataques. El primer caso es Sony, aunque es especial, el ataque en si no estuvo tan simple pero todo los errores acumulados por Sony [http://www.europapress.es/portaltic/videojuegos/noticia-experto-denuncia-sony-usaba-software-antiguo-firewallservidores-20110506165535.html] y sus respuesta s al evento lo vuelven el peor fiasco del 2011 y lo deja como la demostracin de que tan mal pueden salir las cosas hoy en da. El segundo caso, iWiks se trata de una red diseada originalmente para el pblico mexicano pero que no duro ni un da en su inauguracin (21 de enero del 2011) Por qu? Tomaron control de ella mediantes herramientas que explotaban vulnerabilidades bien conocidos y otras vulnerabilidades del S.O anfitrin y de la versin de servidor que este ejecutaba (Esta es la liga [http://www.therror.com/weblog/2011/ene del blog del primer ataque exitoso a dicha red /como_hackee_iwiks_en_10_minutos_el_dia_de_lanzamiento] ), en conclusin este fiasco se debi a programadores que sabiendo hacer las cosas (montar una red social funcional an sin interfaz esttica tiene su truco) les fallo la auditoria de seguridad y en esto coincide con Sony, por inocentes les fue feo. Por cierto, iWiks sigue en pie en su portal [http://iwiks.com/] despus de un tiempo sabtico para reforzarse y auditarse a si mismo. El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitas ya que se trata de los robos de certificados de empresas que controlan el SSL en la web. Ellas son las que nos permiten navegar de forma segura en Internet (como nuestras tarjetas de crdito). Hay dos ataques importantes que ocurrieron el ao pasado a dos certificadoras: Comodo fue la primera victima y Mozilla documento el caso en su blog adems la publicacin del hacker [http://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/] [http://packetstormsecurity.org/news/view/18896/Comodo-Hacker-Outs-Himself.html] quien realizo el ataque. La segunda empresa afectada fuee DigiNotar, cuyo ataque alcanzo afectar varios certificados [http://blog.segu-info.com.ar /2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] que ella otorgaba. Qu se logro con esos ataques? Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas sonado es que se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derechos humanos [http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer un poco ms en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumblingfoundation-ca-system-090211] . El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitas y se trata de los robos de certificados de empresas SSL. Ellas son las que nos permiten navegar de forma segura en Internet (como nuestras tarjetas de crdito [http://rfuentess.blogspot.com/2011/06/protegiendo-la-tarjeta-de-credito-en.html] ). Hay dos ataques importantes: Comodo en el que Mozilla documento en su blog [http://blog.mozilla.org/security/2011/03 /25/comodo-certificate-issue-follow-up/] y la publicacin del mismo hacker [http://packetstormsecurity.org/news/view/18896 /Comodo-Hacker-Outs-Himself.html] y la segunda que fue de DigiNotar que alcanzo varios certificados [http://blog.seguinfo.com.ar/2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] . Qu se logro con esos ataques? Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas sonado es que s Se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derechos humanos [http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer un poco ms en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumbling-foundationca-system-090211] .

3 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

Y el ltimo caso es Stuxnet, en palabras simplonas un malware enfocado en fregar un motor clave en el sistema de enfriamiento de una planta nuclear en Irn al atacar un sistema SCADA [http://es.wikipedia.org/wiki/Stuxnet] (tecnologa vieja y nacida antes de los protocolos de seguridad pero amo y seor en los sistemas industriales). Lo que tiene de especial, es toda la inteligencia detrs del ataque: El malware saba exactamente que regin del planeta buscar, saba identificar exactamente que planta nuclear atacar y conoca a la perfeccin el lugar del motor dentro del sistema SCADA y su modelo y los drivers del mismo. Por eso lo pongo como el ataque mas sofisticado en esta serie de ejemplos, la informacin que se obtuvo de antemano logro hacer un ataque a distancia con un fuerte impacto negativo en la victima (Detener la operacin de la planta).

Auditorias: Hacking tico


Pero bueno, dejemos de hablar de los chicos malos y hablemos del proceso para evitar estas fallas. De hecho en el primer tema ya hable de ellas, al menos para el desarrollo de aplicaciones, al hacer mencin de los 25 errores de programacin ms comunes. Una auditora a una aplicacin tiene los siguientes pasos (Esquema general):

[http://1.bp.blogspot.com /-09yyS93Bdd0/T7cfdZmp_8I/AAAAAAAAAPQ/gmiWCdFn8UE/s1600/segiv_02.PNG]
Modelo generar de Hacking tico.

No voy a entrar a muchos detalles sobre ellos por ahora pero basta decir que se trata de un proceso que inicia bajo contrato y solicitud explicita del que da el servicio hacia un auditor interno o contratado (nada de buenas intenciones) y se hace la revisin del proyecto o de un dispositivo en particular (de acuerdo a lo estipulado al contrato) con objetivo de crear documentacin sobre los pasos realizados y recomendaciones para su correcin. Solamente los pasos Reporte y Revisin de huellas difiere de un esquema no tico. Las personas que practican estas auditorias se les suele denominar hackers de sombrero blanco (y el negro para los chicos malos y el gris para los anti-heroes). Todo el rollo que me he soltado anteriormente tiene como objetivo dar a entender porque es vital para

4 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

cualquier proyecto informtico realizar auditorias en algn punto. Si no se tiene el entrenamiento, se debe de contratar a un tercero.

Auditora de seguridad informtica


Una auditora de seguridad completa VA MUCHO ABARCA MAS QUE SOLO REVISAR MAQUINAS y firewalls. De hecho es lo ltimo que se hace. Una auditora toma el todo de la empresa para el proyecto o los mltiples proyectos es un proceso continuo donde se toma todo los ngulos posibles (infraestructura, protocolos de compartir informacin, el cumplimiento de leyes de la(s) nacin(es) donde ofrece el servicio, polticas hacia los empleados, directivos, clientes, etc.).

[http://4.bp.blogspot.com/-UOKbpIzBYDc/T7cgQ-x8R-I/AAAAAAAAAPY/K34Da-1MW8Q/s1600/segiv_03.PNG]
Un esquema ejemplo de auditorias de seguridad.

ES la combinacin de todos los elementos lo que hace que el proyecto tenga seguridad y es esta combinacin lo que se debe de ver reflejado en las polticas de control de acceso de los firewalls, en el control de los equipos en zonas DMZ o dentro de la empresa, el pasar la informacin el que tan rpido una persona es dado de baja de la empresa (incluyendo sus credenciales virtuales) y un sinfn de elementos. Aquellos que participan en todas estas fases y que hacen las pruebas se les denomina: Auditores de seguridad. Los costos del descuido de estas defensas se puede apreciar en la cada catastrfica de Sony en la Bolsa, se

5 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

puede apreciar por la bancarrota de las empresas que fueron comprometidas al robarles los certificados SSL y en muchas mas catstrofes. No implementarlo siembre terminara mal.

[http://www.smbccomics.com/comics/20110506.gif]
Despues de todo este rollo, un buen tip para volver loco al administrador de sistemas (Tira comica de SMBC)

Men rapido: Parte 1 - Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html] Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html] Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html] Parte 4 - Hacking y Auditora

6 de 7

01-04-2014 23:16

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categori...

Posted 19th May 2012 by Raul Fuentes Labels: Auditoria, conceptos seguridad, Profesionales, Seguridad, Seguridad Internet
0

Add a comment

Comentar como:

Publicar

7 de 7

01-04-2014 23:16