4. IntroducciónIntroducción
LaLa CiberseguridadCiberseguridad busca proteger losbusca proteger los activosactivos
de informaciónde información digital en los sistemasdigital en los sistemas
interconectados. Está comprendida dentro deinterconectados. Está comprendida dentro de
lala seguridad de la informaciónseguridad de la información..
4
Activos deActivos de
informacióninformación
- Servicios- Servicios
- Datos/Información- Datos/Información
- Aplicaciones- Aplicaciones
- Equipos informáticos- Equipos informáticos
- Personal- Personal
- Redes de- Redes de
comunicacióncomunicación
- Soportes de- Soportes de
informacióninformación
- Equipamiento auxiliar- Equipamiento auxiliar
- Instalaciones- Instalaciones
IntegridadIntegridad
ConfidencialidaConfidencialida
dd
DisponibilidadDisponibilidad
¿Qué protege la seguridad¿Qué protege la seguridad
de la información?de la información?
7. VulnerabilidadVulnerabilidad: Fallo o agujero de seguridad mediante el: Fallo o agujero de seguridad mediante el
cual es posible comprometer la disponibilidad, integridadcual es posible comprometer la disponibilidad, integridad
o confidencialidad de la información.o confidencialidad de la información.
ExplotaciónExplotación: Se calcula en función del vector de: Se calcula en función del vector de
acceso, complejidad de acceso y autenticaciónacceso, complejidad de acceso y autenticación
necesaria.necesaria.
ImpactoImpacto: Se determina en función de el impacto: Se determina en función de el impacto
sobre la confidencialidad, integridad y disponibilidadsobre la confidencialidad, integridad y disponibilidad
de los datosde los datos
CVSS ScoreCVSS Score
FactoresFactores
dede
explotacióexplotació
nn
ImpactoImpacto==== xxxx
7
Seguridad deSeguridad de
aplicacionesaplicaciones
https://nvd.nist.gov/CVSS/v2-calculatorhttps://nvd.nist.gov/CVSS/v2-calculator
8. Seguridad deSeguridad de
aplicacionesaplicaciones
SalvaguardaSalvaguarda: Es aquella acción técnica o conjunto: Es aquella acción técnica o conjunto
de ellas que permite reducir o mitigar un riesgo ode ellas que permite reducir o mitigar un riesgo o
vulnerabilidad.vulnerabilidad.
Preventivas: Reducen la probabilidad.Preventivas: Reducen la probabilidad.
Curativas: Acotan la degradación o el impactoCurativas: Acotan la degradación o el impacto
Plan de acciónPlan de acción: Conjunto de iniciativas técnicas: Conjunto de iniciativas técnicas
organizadas en proyectos para la reducción del riesgo oorganizadas en proyectos para la reducción del riesgo o
mitigación de las vulnerabilidades halladas.mitigación de las vulnerabilidades halladas.
8
9. Seguridad deSeguridad de
aplicacionesaplicaciones
9
EnfoquesEnfoques
Caja negra
Pentest de seguridad
donde el técnico no
cuenta con información
sobre el Sistema. Refleja
de la mejor manera
possible un ataque real.
Caja gris
Pentest de seguridad
donde el técnico cuenta
con información limitada
sobre el Sistema.
Sirve para profundizar en
aquellos puntos críticos
del Sistema.
Caja blanca
Pentest de seguridad
donde el técnico cuenta
toda la información
possible (accesos, mapas
de red, código Fuente,
etc.)
10. OWASP Top 10OWASP Top 10
Cross-Site Scripting (XSS)Cross-Site Scripting (XSS)
SQL InjectionSQL Injection
Directory trasversalDirectory trasversal
File IncludeFile Include
Code injectionCode injection
Commands injectionCommands injection
10
OWASP Top 10
•A1 Injection
•A2 Broken Authentication and
Session Management
•A3 Cross-Site Scripting (XSS)
•A4 Insecure Direct Object
References
•A5 Security Misconfiguration
•A6 Sensitive Data Exposure
•A7 Missing Function Level Access
Control
•A8 Cross-Site Request Forgery
(CSRF)
•A9 Using Components with Known
Vulnerabilities
•A10 Unvalidated Redirects and
Forwards
11. Cross-Site Scripting XSSCross-Site Scripting XSS
Este ataque ocurre por una falta de validación yEste ataque ocurre por una falta de validación y
tratamiento de los datos de entrada la aplicacióntratamiento de los datos de entrada la aplicación
web, donde el atacante puede aprovechar paraweb, donde el atacante puede aprovechar para
realizar inyecciones de código scripting (ej:realizar inyecciones de código scripting (ej:
JavaScript, Vbscript, etc.).JavaScript, Vbscript, etc.).
11
12. Cross-Site Scripting XSSCross-Site Scripting XSS
Posibles ataques:Posibles ataques:
Secuetro del navegadorSecuetro del navegador
Robo de información sensibleRobo de información sensible
Defacement “aparente” de la aplicaciónDefacement “aparente” de la aplicación
Envío dirigido de exploits basados enEnvío dirigido de exploits basados en
navegadornavegador
Etc.Etc.
12
13. Cross-Site Scripting XSSCross-Site Scripting XSS
Un ejemplo de explotación de Cross-Site-ScriptingUn ejemplo de explotación de Cross-Site-Scripting
utilizando Phishing como vector de ataque:utilizando Phishing como vector de ataque:
13
14. Cross-Site Scripting XSSCross-Site Scripting XSS
Explotando XSS:Explotando XSS:
•
Identificación de vías de entrada de datos (inputs,Identificación de vías de entrada de datos (inputs,
atributos, cookies, parámetros, etc.)atributos, cookies, parámetros, etc.)
•
Sustitución de valor esperado por valor manipuladoSustitución de valor esperado por valor manipulado
con scriptcon script previo envío de la petición HTTPprevio envío de la petición HTTP..
•
Observar resultados en cliente y servidor.Observar resultados en cliente y servidor.
14
15. SQL InjectionSQL Injection
Los ataques de inyección SQL son ataques en losLos ataques de inyección SQL son ataques en los
que ordenes SQL son enviadas al servidor laque ordenes SQL son enviadas al servidor la
correcta realización de una consulta SQLcorrecta realización de una consulta SQL
predefinida.predefinida.
Un atacante puede crear o alterar estas consultasUn atacante puede crear o alterar estas consultas
para exponer datos ocultos, sobrescribirlos opara exponer datos ocultos, sobrescribirlos o
ejecutar consultas a nivel de sistemas en elejecutar consultas a nivel de sistemas en el
servidor de la base de datos.servidor de la base de datos.
15
16. SQL InjectionSQL Injection
Posibles ataques SQL Injection:Posibles ataques SQL Injection:
Fugas de información de BBDDFugas de información de BBDD
Modificación de datosModificación de datos
(INSERT/UPDATE/DELETE)(INSERT/UPDATE/DELETE)
DoS a BBDDDoS a BBDD
Etc.Etc.
16
17. SQL InjectionSQL Injection
Explotando SQL Injection:Explotando SQL Injection:
•
Identificación de vías de entrada de datos (inputs,Identificación de vías de entrada de datos (inputs,
atributos, cookies, parámetros, etc.)atributos, cookies, parámetros, etc.)
•
Sustitución de valor esperado por un valor manipulado conSustitución de valor esperado por un valor manipulado con
una sentencia SQL,una sentencia SQL, previo envío de la petición HTTPprevio envío de la petición HTTP..
•
Observar resultados en cliente y servidor.Observar resultados en cliente y servidor.
17
18. Path TraversalPath Traversal
Es un Bug, que permite al usuario saltarse lasEs un Bug, que permite al usuario saltarse las
restricciones a nivel de permisos y acceder a unrestricciones a nivel de permisos y acceder a un
directorio superior, fuera del contexto de ladirectorio superior, fuera del contexto de la
aplicación web.aplicación web.
18
19. Path TraversalPath Traversal
Posibles ataques SQL Injection:Posibles ataques SQL Injection:
Fugas de informaciónFugas de información
Ejecución de código remotoEjecución de código remoto
Exposición de información sensibleExposición de información sensible
Etc.Etc.
19
20. Path TraversalPath Traversal
Explotando Directory Trasversal:Explotando Directory Trasversal:
•
Identificación de entradas de direcciones (URL, directorio,Identificación de entradas de direcciones (URL, directorio,
fichero, etc.) o barra de direccionesfichero, etc.) o barra de direcciones
•
Manipulación de dato esperado antes del envío de laManipulación de dato esperado antes del envío de la
petición HTTPpetición HTTP
•
Observar respuesta HTTPObservar respuesta HTTP
20
21. HerramientasHerramientas
OWASP ZAP, BURP Suite: PentestingOWASP ZAP, BURP Suite: Pentesting
Nessus y VEGA: Scanner avanzado de vulnerabilidadesNessus y VEGA: Scanner avanzado de vulnerabilidades
SQLMap: Inyección SQLSQLMap: Inyección SQL
NMAP - ZENMAP: Scanner de puertosNMAP - ZENMAP: Scanner de puertos
OWASP Mantra: Framework de SeguridadOWASP Mantra: Framework de Seguridad
Bactrack/Kali Linux: S.O. Suite Hacking y Análisis ForenseBactrack/Kali Linux: S.O. Suite Hacking y Análisis Forense
Metasploit: HackingMetasploit: Hacking
Encase y FTK: Análisis ForenseEncase y FTK: Análisis Forense
21
22. Computación ForenseComputación Forense
¿Que es?¿Que es?
La computación forense es el uso de técnicasLa computación forense es el uso de técnicas
de investigación y análisis para identificar,de investigación y análisis para identificar,
coleccionar, examinar y preservar informacióncoleccionar, examinar y preservar información
que se almacena y se codifica digitalmente.que se almacena y se codifica digitalmente.
El objetivo es el mismo que el forense clásico:El objetivo es el mismo que el forense clásico:
obtener evidencias y proveer un análisis paraobtener evidencias y proveer un análisis para
poderlo usar en un procedimiento formalpoderlo usar en un procedimiento formal
(legal, institucional, etc)(legal, institucional, etc)
23. Computación ForenseComputación Forense
McKemmish ModelMcKemmish Model
adquisicióadquisició
nn
preservacipreservaci
ónón
examinarexaminar análisisanálisis
presentacipresentaci
ónón
Principio de LocardPrincipio de Locard
sospechsospech
aa
víctimavíctima
EscenaEscena
crimencrimen
digitaldigital
24. Computación ForenseComputación Forense
¿Que es una evidencia?¿Que es una evidencia?
La evidencia en su sentido más amplio incluyeLa evidencia en su sentido más amplio incluye
todo que se utiliza para determinar otodo que se utiliza para determinar o
demostrar la verdad de una aserción.demostrar la verdad de una aserción.
Tipos: Intuitiva, científica, personal, anécdota,Tipos: Intuitiva, científica, personal, anécdota,
legallegal
Lo más importante para proteger la validez deLo más importante para proteger la validez de
una evidencia es preservar su cadena deuna evidencia es preservar su cadena de
custodia.custodia.
26. Computación ForenseComputación Forense
NetworksNetworks
Puertos físicosPuertos físicos
Media Access Control (MAC)Media Access Control (MAC)
Direcciones IPDirecciones IP
Puertos lógicosPuertos lógicos
SocketsSockets
Uniform Resource Locators (URL)Uniform Resource Locators (URL)
27. Computación ForenseComputación Forense
Información que contiene la RAM en claro:Información que contiene la RAM en claro:
Keys encriptadasKeys encriptadas
PasswordsPasswords
Direcciones emailDirecciones email
Código del programa cargadoCódigo del programa cargado
Conexiones de red abiertasConexiones de red abiertas
Procesos establecidosProcesos establecidos
29. Computación ForenseComputación Forense
RAM Técnicas y herramientas forensics:RAM Técnicas y herramientas forensics:
Máquina virtual:Máquina virtual:
VMWare —> archivo vmemVMWare —> archivo vmem
VirtualBox —> comando debugvmVirtualBox —> comando debugvm
Mandiant Memoryze, MoonSols, FTK Imager, MACMandiant Memoryze, MoonSols, FTK Imager, MAC
memory reader, EnCase WinEn, BeltaSoft Live RAMmemory reader, EnCase WinEn, BeltaSoft Live RAM
capturercapturer
Mediante FireWire con Inception o VolatilityMediante FireWire con Inception o Volatility
Mediante PCI usando WindowSCOPE ($8000)Mediante PCI usando WindowSCOPE ($8000)
30. Computación ForenseComputación Forense
Windows Forensics: Boot ProcessWindows Forensics: Boot Process
És el primer proceso a cargar.És el primer proceso a cargar.
Se puede interrumpir el Boot Process paraSe puede interrumpir el Boot Process para
visualizar la configuración CMOSvisualizar la configuración CMOS
Para que se usa:Para que se usa:
Determinar que archivos fueron alteradosDeterminar que archivos fueron alterados
Determinar el Sistema OperativoDeterminar el Sistema Operativo
Ver señales de manipulación por malwareVer señales de manipulación por malware
31. Computación ForenseComputación Forense
Windows Forensics: Boot ProcessWindows Forensics: Boot Process
boot.ini (Win XP)boot.ini (Win XP)
Versión S.O. instaladaVersión S.O. instalada
Información sobre las múltiples opciones deInformación sobre las múltiples opciones de
arranquearranque
Si la máquina hibernó, hiberfil.sys carga elSi la máquina hibernó, hiberfil.sys carga el
último estado del sistemaúltimo estado del sistema
bcd (Win Vista y posterior)bcd (Win Vista y posterior)
Usa el Boot ManagerUsa el Boot Manager
32. Computación ForenseComputación Forense
Windows Forensics: Setup LogsWindows Forensics: Setup Logs
Windows XP —> setuplog.txt yWindows XP —> setuplog.txt y
netsetup.log (informa sobre cómo senetsetup.log (informa sobre cómo se
instaló y configuró windows)instaló y configuró windows)
Windows 7:Windows 7:
https://technet.microsoft.com/en-us/librahttps://technet.microsoft.com/en-us/libra
CurrentVersion Registry KeyCurrentVersion Registry Key
33. Computación ForenseComputación Forense
Windows Forensics: Donde encontrar evidenciasWindows Forensics: Donde encontrar evidencias
Historial de InternetHistorial de Internet
Event LogsEvent Logs
Archivos prefetchArchivos prefetch
Archivos thumbs.dbArchivos thumbs.db
–
MetadatosMetadatos
34. Computación ForenseComputación Forense
•
Conceptos InvestigaciónConceptos Investigación
–
Preservar la evidencia - IntegridadPreservar la evidencia - Integridad
–
Cadena de custodiaCadena de custodia
–
Etiquetar y Documentar/ReportingEtiquetar y Documentar/Reporting
–
Volatilidad de adquisición de evidencias: de mayor aVolatilidad de adquisición de evidencias: de mayor a
menormenor
–
RAM y Swap DumpRAM y Swap Dump
–
Read OnlyRead Only
–
Imágenes AFF y HashesImágenes AFF y Hashes
35. Computación ForenseComputación Forense
•
Pasos InvestigaciónPasos Investigación
1. Desenchufar el cable de red1. Desenchufar el cable de red
2. Hacer el volcado de memoria i swap2. Hacer el volcado de memoria i swap
3. Desenchufar la máquina directamente del cable de la3. Desenchufar la máquina directamente del cable de la
corrientecorriente
4. Clonar el disco y copias así como los hashes4. Clonar el disco y copias así como los hashes
5. Analizar y investigar la copia5. Analizar y investigar la copia
6. Reporting6. Reporting
7. Presentar el report con las evidencias delante de un tribunal7. Presentar el report con las evidencias delante de un tribunal
36. Computación ForenseComputación Forense
•
Distribuciones Live ForensicsDistribuciones Live Forensics
•
Helix:Helix: Tiene herramientas de adquisición deTiene herramientas de adquisición de
evidencias de sistemas Windows en calienteevidencias de sistemas Windows en caliente
•
Caine:Caine: Monta los dispositivos en Read Only porMonta los dispositivos en Read Only por
defectodefecto
•
Backtrack/Kali Linux:Backtrack/Kali Linux: Modo Forense: Modo ReadModo Forense: Modo Read
Only por defecto y no utiliza la propia swap paraOnly por defecto y no utiliza la propia swap para
hacer el dump, podría sobreescribir la prueba.hacer el dump, podría sobreescribir la prueba.
•
Santoku:Santoku: Herramientas para mobile forensicsHerramientas para mobile forensics
37. Taller HackingTaller Hacking
•
Instalación WFP en VboxInstalación WFP en Vbox
•
Pentest Web for pentesterPentest Web for pentester
•
Herramientas (opcional): Mantra, Kali, etc.Herramientas (opcional): Mantra, Kali, etc.
37