Hackers en los sistemas de las
administraciones públicas: cómo y
para qué
Florencio Cano Gabarda
Responsable de seguridad ...
ACTUALIDAD
 Los ataques contra todo tipo de organizaciones se han

multiplicado
 Especialmente las AAPP tienen que defen...
MOTIVACIÓN
 Black Hat Hackers
 Script Kiddies
 Hacktivistas
 Hackers financiados por gobiernos
 Espionaje
 Ciberterr...
TIPOS DE ATAQUES
 Ataque contra la disponibilidad de sistemas
 Intrusión desde el exterior
 Acceso a información sensib...
ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS
 También llamados de denegación de servicio (DoS) o de

denegación de servici...
PROTECCIÓN ATAQUE CONTRA LA DISPONIBILIDAD
DE SISTEMAS
 Uso de redes CDN
 Distribución de contenidos global
 Se minimiz...
ATAQUES DESDE EL EXTERIOR
 Más complejos que los anteriores
 El objetivo es acceder a información confidencial no solo

...
¿Cómo lo hacen?

8
SERVICIOS ABIERTOS EN EL PERIMETRO
 Toda AAPP, para funcionar, debe disponer de algunos

servicios abiertos en el perímet...
SERVICIOS ABIERTOS EN EL PERIMETRO
 Toda AAPP para funcionar debe disponer de algunos servicios

abiertos en el perímetro...
¿CÓMO AVERIGUAN ESOS FALLOS?
 Las mismas empresa que desarrollan el software los publican

cuando ya han corregido el fal...
¿CÓMO PROTEGERNOS CONTRA ESTE TIPO DE
FALLOS? disponer de un buen procedimiento de instalación de
 Se debe

actualizacion...
LA PÁGINA WEB
 Actualmente es el servicio con mayor probabilidad de ser

“hackeado”
 Muchas fugas de información en AAPP...
¿CUÁL ES EL PROBLEMA DE LAS APLICACIONES
WEB?
 Si están basadas en un software, como un CMS (Liferay,

Joomla, Drupal) ti...
¿POR QUÉ ES DIFÍCIL DESARROLLAR APLICACIONES
WEB SEGURAS?
 La seguridad 100% no existe
 Los desarrolladores deben tener ...
¿CUÁLES SON LOS FALLOS TÍPICOS EN LAS
APLICACIONES WEB? (FROM OWASP TOP 10 2013)
 Inyecciones – SQL, LDAP, OS, HTML
 Mec...
¿CÓMO REDUCIR EL RIESGO DE ESTE TIPO DE
VULNERABILIDADES?
 Seguridad desde la fase de diseño de la aplicación
 Análisis ...
ACCESO A INFORMACIÓN SENSIBLE DESDE EL
INTERIOR
 ¡FUE UN HACKER!
 Puede que no…puede que solo un trabajador descontento
...
¿CÓMO PREVENIR LOS ATAQUES INTERNOS?
 Procedimientos de seguridad relacionados con los recursos humanos
 Políticas y con...
¿PREGUNTAS?

20
Próxima SlideShare
Cargando en…5
×

Hackers en los sistemas de las administraciones públicas

423 visualizaciones

Publicado el

La charla expone las debilidades más frecuentes en las administrciones públicas que son aprovechadas por los atacantes para acceder a información sensible de las mismas y posibles soluciones.

Esta es una ponencia divulgativa que preparó Florencio Cano, de SEINHE, para presentar en el congreso anual que ISACA Valencia organiza en esta ciudad.

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
423
En SlideShare
0
De insertados
0
Número de insertados
130
Acciones
Compartido
0
Descargas
10
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Hackers en los sistemas de las administraciones públicas

  1. 1. Hackers en los sistemas de las administraciones públicas: cómo y para qué Florencio Cano Gabarda Responsable de seguridad online de ISACA Valencia CISA, 27001 Lead Auditor, CEH, perito judicial informático
  2. 2. ACTUALIDAD  Los ataques contra todo tipo de organizaciones se han multiplicado  Especialmente las AAPP tienen que defenderse de los ataques de los denominados “hacktivistas” 2
  3. 3. MOTIVACIÓN  Black Hat Hackers  Script Kiddies  Hacktivistas  Hackers financiados por gobiernos  Espionaje  Ciberterroristas 3
  4. 4. TIPOS DE ATAQUES  Ataque contra la disponibilidad de sistemas  Intrusión desde el exterior  Acceso a información sensible desde el interior 4
  5. 5. ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS  También llamados de denegación de servicio (DoS) o de denegación de servicio distribuidos (DDoS)  Muchos usuarios se ponen de acuerdo para acceder simultáneamente a un recurso, colapsándolo  Uso de herramientas que generan muchas peticiones en un intervalo corto de tiempo (LOIC)  Uso de botnets 5
  6. 6. PROTECCIÓN ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS  Uso de redes CDN  Distribución de contenidos global  Se minimiza el impacto de ataques distribuidos porque se dividen los usuarios en grupos que atienden nodos distintos  Nodos tratan de ocultan ubicación real del servidor origen 6
  7. 7. ATAQUES DESDE EL EXTERIOR  Más complejos que los anteriores  El objetivo es acceder a información confidencial no solo colapsar un servicio  Atacantes más expertos y especializados 7
  8. 8. ¿Cómo lo hacen? 8
  9. 9. SERVICIOS ABIERTOS EN EL PERIMETRO  Toda AAPP, para funcionar, debe disponer de algunos servicios abiertos en el perímetro de su red: – – – – – – VPN Correo electrónico SSH Escritorio remoto Citrix Servidores web 9
  10. 10. SERVICIOS ABIERTOS EN EL PERIMETRO  Toda AAPP para funcionar debe disponer de algunos servicios abiertos en el perímetro de su red.  Detrás de cada servicio hay un software servidor a la escucha  Este software servidor está programado por personas y, por tanto, tiene fallos  Los atacantes aprovechan esos fallos para saltarse medidas de seguridad de los programas o directamente para manipularlos para que hagan lo que ellos quieran 10
  11. 11. ¿CÓMO AVERIGUAN ESOS FALLOS?  Las mismas empresa que desarrollan el software los publican cuando ya han corregido el fallo en la siguiente versión  O si no los publican pero corrigen el fallo, los atacantes averiguan el fallo viendo la corrección  O pueden averiguarlos ellos mismos y no hacerlos públicos… son los denominados 0days 11
  12. 12. ¿CÓMO PROTEGERNOS CONTRA ESTE TIPO DE FALLOS? disponer de un buen procedimiento de instalación de  Se debe actualizaciones de seguridad – Esto reduce el tiempo que estaremos desprotegidos (desde que se publica el parche hasta que instalamos)  Se debe tener la menor cantidad posible de servicios publicados en el perímetro  El software servidor debe ejecutarse lo más aislado posible y con los menores permisos posibles. Esto reducirá el impacto 12
  13. 13. LA PÁGINA WEB  Actualmente es el servicio con mayor probabilidad de ser “hackeado”  Muchas fugas de información en AAPP vienen por problemas de seguridad en la web  Muchos servicios de la sociedad de la información se ofrecen a través de aplicaciones web 13
  14. 14. ¿CUÁL ES EL PROBLEMA DE LAS APLICACIONES WEB?  Si están basadas en un software, como un CMS (Liferay, Joomla, Drupal) tiene fallos conocidos – Los atacantes buscan páginas con estos CMS por sus fallos conocidos  Si se desarrollan desde 0: Habrá más problemas de seguridad pero menos conocidos 14
  15. 15. ¿POR QUÉ ES DIFÍCIL DESARROLLAR APLICACIONES WEB SEGURAS?  La seguridad 100% no existe  Los desarrolladores deben tener formación específica para evitar fallos de seguridad. El sentido común no sirve.  Los equipos de testing típicos son expertos en probar funcionalidad y rendimiento pero no seguridad  Los defensores deben proteger todas las vías de entrada, los atacantes solo deben encontrar una desprotegida  La seguridad muchas veces se deja para el final y entonces no queda tiempo 15
  16. 16. ¿CUÁLES SON LOS FALLOS TÍPICOS EN LAS APLICACIONES WEB? (FROM OWASP TOP 10 2013)  Inyecciones – SQL, LDAP, OS, HTML  Mecanismo de autenticación o gestión de sesión vulnerable  Cross-Site Scripting (XSS)  Referencias inseguras directas a objetos  Configuraciones inseguras  Exposición de información sensible  Ausencia de control de acceso a nivel de función  Cross-Site Request Forgery (XSRF)  Uso de componentes con vulnerabilidades conocidas  Redirecciones no validadas 16
  17. 17. ¿CÓMO REDUCIR EL RIESGO DE ESTE TIPO DE VULNERABILIDADES?  Seguridad desde la fase de diseño de la aplicación  Análisis de vulnerabilidades a intervalos planificados o cuando se realizan grandes cambios sobre la aplicación  Seguridad en profundidad 17
  18. 18. ACCESO A INFORMACIÓN SENSIBLE DESDE EL INTERIOR  ¡FUE UN HACKER!  Puede que no…puede que solo un trabajador descontento  La seguridad interna es fundamental  Las organizaciones suelen actuar más a posteriori, cuando el daño está hecho, por impotencia  El coste entonces es mucho más elevado que el de la prevención 18
  19. 19. ¿CÓMO PREVENIR LOS ATAQUES INTERNOS?  Procedimientos de seguridad relacionados con los recursos humanos  Políticas y control de acceso  Sistemas de prevención de fuga de datos (DLP)  Sistemas SIEM  Formación y concienciación 19
  20. 20. ¿PREGUNTAS? 20

×