Cid

Jefe del Grupo de Seguridad Lógica
Inspector Pablo Alonso
COMISARIA GENERAL DE POLICÍA JUDICIAL
U.D.E.F. CENTRAL
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

ORGANIZACIÓN OPERATIVA
SECCIÓN OPERATIVA I SECCIÓN OPERATIVA II SECCIÓN TÉCNICA
PROTECCIÓN AL MENOR
I y II
FRAUDE A LAS
TELECOMUNICACIONES
FRAUDES EN INTERNET
I y II
SEGURIDAD LÓGICA
INFORMES
APOYO TÉCNICO
FORMACIÓN
ESTUDIOS
I + D
PROPIEDAD
INTELECTUAL
Comisaría General de Policía Judicial
REDES ABIERTAS

CUERPO NACIONAL DE POLICIA
La seguridad informática se
encarga de la identificación de las
vulnerabilidades de un sistema y
d e l e s t a b l e c i m i e n t o d e
contramedidas que eviten que las
distintas amenazas posibles
exploten estas vulnerabilidades.
¿Que es la seguridad?

“Proceso consistente en mantener
un nivel aceptable de riesgo
percibido”
Richard Bejtlich.
El Tao de la monitorización de seguridad en redes
Eventualmente TODO
sistema de seguridad
FALLARÁ.
CONCEPTO DE SEGURIDAD

Objetivos de la seguridad
• Garantizar el CID
– Confidencialidad: Que nadie más lo vea
– Integridad: Que nadie más lo cambie
– Disponibilidad: Que siempre esté ahí
• Implantar las reglas de Oro
– Autenticación: Quién es
– Autorización: Qué puede hacer
– Auditoría: Qué ocurrió
• Asegurar el No Repudio
– Que nadie pueda decir que él NO FUE

Conceptos Básicos
• Vulnerabilidad.
– Punto o aspecto del sistema o sus aplicaciones
que es susceptible de ser atacado o de dañar la
seguridad del mismo. Representan las
debilidades o aspectos falibles o atacables en un
sistema informático.
• Amenaza.
– Posible peligro para el sistema. Puede ser una
persona (hacker), un programa (virus, caballo
de Troya, ...), o un suceso natural o de otra
índole (fuego, inundación, etc.). Representan
los posibles atacantes o factores que
aprovechan las debilidades del sistema.
• Contramedida.
– Técnicas de protección del sistema contra las
amenazas.

Seguridad Informática
CARACTERISTICAS A GARANTIZAR
•Disponibilidad
– El sistema se mantiene funcionando eficientemente y es
capaz de recuperarse rápidamente en caso de fallo.
•Integridad
– Permite asegurar que no se ha falseado la información, es
decir, que los datos recibidos o recuperados son
exactamente los que fueron enviados o almacenados, sin
que se haya producido ninguna modificación.
•Confidencialidad
– Capacidad del sistema para evitar que personas no
autorizadas puedan acceder a la información almacenada
en él.

OTROS ASPECTOS
•Autenticidad
– Permite asegurar el origen de la información. La identidad
del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.
•Consistencia
– Asegurar que el sistema se comporta como se supone que
debe hacerlo con los usuarios autorizados
•Aislamiento
– Regular el acceso al sistema, impidiendo que personas no
autorizadas entren en él.
•Auditoria
– Capacidad de determinar qué acciones o procesos se han
llevado a cabo en el sistema, y quién y cuándo las han
llevado a cabo.

PRINCIPIOS FUNDAMENTALES
•Principio de menor privilegio
– Cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para
desarrollar su tarea y ninguno más.
•Principio del eslabón más débil
– En todo sistema de seguridad, el máximo grado de seguridad no
es la suma de toda la cadena de medidas sino el grado de
seguridad de su eslabón más débil.
•Punto de control centralizado
– Se trata de establecer un único punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al
mismo tenga que pasar por él. No se trata de utilizar un sólo
mecanismo de seguridad, sino de "alinearlos" todos de modo que
el usuario tenga que pasar por ellos para acceder al sistema.

PRINCIPIOS FUNDAMENTALES
• Seguridad en caso de fallo
– Este principio afirma que en caso de que cualquier
mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.
• Participación universal
– Cualquier mecanismo de seguridad que establezcamos
puede ser vulnerable si existe la participación voluntaria
de algún usuario autorizado para romperlo.
• Simplicidad
– Mantener las cosas lo más simples posibles, las hace más
fáciles de comprender mientras que la complejidad
permite esconder múltiples fallos.

Seguridad Física y Ambiental
• La norma ISO establece dos
categorías:
– Áreas Seguras: Con la finalidad de
impedir el acceso no autorizado a las
instalaciones de la organización.
– Seguridad en los equipos: A fin de
impedir la perdida, daño o robo de la
información.

• Distingue tres fases:
– Antes de la contratación.
– Durante el desarrollo del empleo.
– En el cese o cambio de puesto de
trabajo.
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS.

Antes de la contratación.
– Se deben definir y documentar los
r o l e s y r e s p o n s a b i l i d a d e s e n
seguridad describiendo el puesto de
trabajo de acuerdo al documento de
políticas de seguridad.
– Se deben investigar los antecedentes
y referencias del candidato.
– L o s r o l e s , r e s p o n s a b i l i d a d e s ,
términos y condiciones del puesto de
trabajo deben figurar en el contrato.

Durante la contratación.
– Informar, concienciar y motivar a los
empleados para el cumplimiento de los
términos y condiciones establecidos en
materia de seguridad.
– Formar y capacitar al personal sobre sus
funciones y procedimientos respecto de la
seguridad.
– Fijar y documentar un régimen disciplinario
para las infracciones en materia de
seguridad

En el cese o cambio de puesto de
trabajo.
– Se deben definir y documentar los roles y
responsabilidades tras el cese incluyendo
cualquier cuestión relacionada con los
acuerdos de confidencialidad.
– Fijar procedimientos de devolución de todo
el material proporcionado por la
organización. En caso de equipos cedidos o
vendidos al trabajador garantizar la limpieza
de los equipos.
– Retirar los derechos de acceso que pudieran
habérsele otorgado.
– Los cambios de puesto de trabajo deben
tratarse como si fueran un cese y una nueva
contratación.

• El establecimiento de una política de
seguridad
• El análisis de riesgos y los planes de
contingencia
• La asignación de responsabilidades
• La política de personal
MEDIDAS DE PROTECCIÓN
ADMINISTRATIVAS Y ORGANIZATIVAS

POLÍTICAS DE SEGURIDAD
• a) Ninguna seguridad
• La medida más simple posible es no hacer ningún esfuerzo en
seguridad y tener la mínima, cualquiera que sea, por ejemplo la
que proporcione el vendedor de forma preestablecida.
• b) Seguridad a través de ser desconocido
• Con este planteamiento se supone que un sistema es seguro sólo
porque nadie sabe de él.
• c) Seguridad para anfitrión
• El modelo plantea reforzar la seguridad de cada máquina anfitrión
por separado, y hacer todo el esfuerzo para evitar o reducir los
problemas de
• seguridad que puedan afectar a ese anfitrión específico.
• d) Seguridad para redes
• Conforme los entornos se hacen más grandes y diversos, es más
difícil
• asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un
modelo
• de seguridad para redes

La seguridad requiere una visión global

DINÁMICA DE LA SEGURIDAD
La Seguridad
NO es un proceso puntual,
es un proceso CONTINUO.
Estimación
Protección
Detección
Respuesta

RIESGO PARA LAS
ORGANIZACIONES
Riesgo = Amenaza x Vulnerabilidad x
Valor del bien
Amenaza Pasiva: Confidencialidad
(sniffer)
Amenaza Activa: Cambian el estado del
sistema

Es un conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de algún
recurso. Se definen o clasifican a partir de una política de
seguridad.
•Intrusiones para mal uso.- son ataques en puntos débiles
conocidos de un sistema. Pueden ser detectados
observando y buscando ciertas acciones que se realizan a
ciertos objetos.
•Intrusiones anómalas.- se basa en la observación de
desviaciones de los patrones de uso normales del
sistema. Pueden ser descubiertos construyendo un perfil
del sistema que se desea supervisar, y detectando
desviaciones significantes del perfil creado.
¿Que es una intrusión?

TIPOS DE ATAQUES
•Ataques contra la Disponibilidad
– Denegación de Servicios DOS, DDOS
•Ataques contra la Integridad
– Defacement.
•Ataques contra la Confidencialidad
– Fuerza Bruta, Robo de Credenciales, Robo de cookies,
Robo de información técnicas de inyección.

Denegación de servicio
• Ataque DOS: Colapsar un sistema sobrecargándolo
de peticiones, de forma que sus usuarios legítimos
no puedan acceder.
• Ataque DDOS: es un ataque DOS distribuido. Se
usan múltiples equipos “zombis” que lanzan el
ataque simultáneamente.

Botnets
•Sus funciones originales eran el
control de canales y la simulación
de participantes en juegos
multijugador.
• A c t u a l m e n t e s e u s a n
esencialmente para Ataques de
DDoS, envío de (SPAM), alojar
herramientas y componentes
destinados al fraude (Phising),
manipulación de encuestas,
votaciones y juegos online y
distribución de malware.
• E l t e r m i n o “ b o t n e t ” h a c e
referencia a una red de bots
(originalmente robots de IRC
que simulaban una identidad
dentro de un canal).

Tipo de programa diseñado específicamente para cometer
delitos (crímenes) de tipo financiero o similares, intentando
pasar desapercibido por la víctima. Por extensión, también hace
referencia a aplicaciones web diseñadas con los mismos
objetivos.
Un crimeware puede robar identidades, datos confidenciales,
contraseñas, información bancaria, etc. También puede servir
parta robar la identidad o espiar a una persona o empresa.
El término fue ideado por Peter Cassidy, Secretario General del
Anti-Phishing Working Group, para distinguir este tipo de
software de otros malignos como malwares, spywares,
adwares, etc. (Aunque muchas veces éstos emplean técnicas
similares para propagarse o actuar).
La industria del crimeware sigue creciendo a través de la puesta
en desarrollo y comercialización de nuevos paquetes de exploits
pre-compilados que se suman a la oferta de alternativas
destinadas a facilitar las maniobras delictivas a través de
Internet.
CRIMEWARE

Black Hole Exploits Kit, una aplicación web desarrollada en
Rusia pero que además incorpora para su interfaz el idioma
inglés, y cuya primera versión (beta por el momento) está
intentando insertarse en el mercado clandestino desde principios
de septiembre de 2010. Su costo esta determinado en función
de una serie de características que intentan diferenciarlo del
resto.
Por ejemplo, adquirir este crimeware durante 1 año (por el
momento el tiempo máximo) tiene un costo de $ 1500 dólares,
mientras que una licencia semestral y trimestral, cuestan $
1000 y $ 700 respectivamente.
BLACK HOLE EXPLOITS KIT

• Objetivos de un ataque:
– Denegación de Servicio (DoS).
– Robo de la información (BBDD,
propiedad industrial…).
– Destruir / dañar información.
– Controlar la máquina objetivo
(BotNets, SPAM, DDoS).
¿QUÉ SE BUSCA EN UN ATAQUE?

TIPOS DE VULNERABILIDADES
• Técnicas (bug)
– Cross Site Scripting
– Inyección SQL
– Inyección de comandos
– Falsificación de frames
– Desbordamiento de búfer
– Listado directorios
– Archivos/directorios backup
– Archivos de configuración
– Etc.
• Lógicas o funcionales (flaw)
– Autenticación defectuosa
– Fallos en lógica de
negocio: no se valida un
número de tarjeta o de
cuenta
– Modificación de precios
– Modificación de cookies
– Escalada de privilegios
horizontal/vertical
– SSL no requerido
– Criptografía pobre
– Info++ en mensajes de
error
– Etc.

• MODELO DE ESTRUCTURA DE RED
INTERNET

passwd=xyz
&rid=3’+union+select+top+1
+password+from+usuarios=‘1&
“dame la primera password
de la tabla que almacena
las cuentas de usuarios”
“la primera password de la
tabla de usuarios es ’6h4r15B’”
Usuario malicioso
EL ATAQUE A SERVICIOS WEB
CON TECNICAS SQL INJECTION

Tecnicas de Inyección
. El uso de tecnicas de inyección,
particularmente la inyección de SQL, son
muy frecuentes en todo tipo de incidentes
de seguridad en aplicaciones web.
• Ocurre cuando los datos proporcionados
por el usuario se envían a un interprete
como parte de un comando o consulta sin
validarlos.
• El atacante puede manipular la entrada
para forzar al interprete a ejecutar otras
consultas extrayendo o modificando los
registros de la base de datos.

Ejemplos de SQL
Inyection
• ‘ OR ‘1’=‘1
• ‘;UPDATE usuarios SET
(password) VALUES (md5
(‘mipass’)) where user=‘admin
• ‘ EXEC master..xp-cmdshell ‘cmd

Soluciones.
• Validación de entrada: Comprobar longitud,
tipo, sintaxis … de todos los datos de
entrada antes de ser mostrados o
almacenados.
• Permitir los mínimos privilegios necesarios a
las aplicaciones que conectan a bases de
datos.
• Evitar mensajes de error detallados.

Cross Site Scripting (XSS)
• El Cross site scripting, también conocido
como XSS, es un tipo de inyección HTML
que se produce cuando una aplicación toma
datos introducidos por el usuario y los envía
al navegador sin validarlos o codificarlos.
• El script malicioso suele estar construido en
JavaScript pero existen variantes en otros
lenguajes de script.

Cross Site Scripting (XSS)
• Permite al atacante ejecutar código en el
navegador de la victima.
• Sus finalidades pueden ser:
– Desfigurar una web (“Deface”)
– Insertar contenido inadecuado.
– Robo de sesiones
– Ataques de suplantación (“Phising”)
– Tomar el control del navegador

Soluciones.
• Validación de entrada:
• Usar un mecanismo de validación de entrada
que compruebe longitud, tipo, sintaxis … de
todos los datos de entrada antes de ser
mostrados o almacenados.
• Codificación de salida:
• Codificar los datos de forma apropiada. (ej,
HTML Entities o MS Anti XSS library) de modo
que no puedan llegar a mostrarse o
almacenarse en forma ejecutable.

¿Qué es un exploit?
Es una pieza de software, un
fragmento de datos, o una
secuencia de comandos cuyo
objetivo es automatizar el
aprovechamiento de una
vulnerabilidad.

Troyanos
LA CREACIÓN DE TROYANOS
En 4 simples pasos:
Diseño Ocultación Verificación Distribución

Creación de un troyano
Mediante el uso de “packers” comerciales o gratuitos
Creación del Software
La Ingeniería Inversa
La Ocultación

ASPack
ASProtect
Armadillo
EXECryptor
FSG
MEW
NSPack
PECompact
UPack
Telock
“Packers” comerciales:
CREACIÓN DE TROYANOS
Las Técnicas de ocultación

• RBN, ofrece una completa infraestructura para los
ciberdelitos. Phishing, malware, ataques DDoS,
pornografía infantil…etc son soportados por este ISP
ruso. Para ello, se pone a disposición del cliente varias
botnets, shells remotas en servidores crackeados,
servidores centralizados de gestión de estas
actividades…etc.
• La RBN se encuentra en S. Petersburgo (Rusia) y
proporciona alojamiento web. Su actividad está tan
íntimamente relacionada con la industria del malware,
que muchos nodos han decidido bloquear directamente
toda conexión con direcciones pertenecientes a esta
red. Y no sólo malware. Se dice que la mitad del
phishing mundial está alojado impunemente en alguno
de sus servidores.
• En los últimos años no es fácil encontrar un incidente
criminal a gran escala en la que no aparezcan por algún
sitio las siglas RBN (o "TooCoin" o "ValueDot",
nombres anteriores con los que ha sido conocida).
RUSSIAN BUSINESS NETWORK
(Equipos a prueba de balas)

RUSSIAN BUSINESS NETWORK
(Equipos a prueba de balas)

Usuario maliciosoUsuario malicioso
Ejemplo de ataque

CONSEJOS GENERALES
• Deshabilitar servicios y cuentas no utilizados.
• Actualización de S.O. y aplicaciones (parches).
• Uso de “buenas” contraseñas.
• Utilización de Firewalls
• Chequeo de integridad de aplicaciones y S.O.
• Back-ups periódicos.
• Análisis periódico de logs, monitorizar y graficar estadísticas.
• Auditar con escaners de vulnerabilidades
• Consultar Listas de vulnerabilidades
• Limitar y controlar uso de programación del lado del cliente
(javascript)
• Técnicas de defensa a fondo y puntos de choque en redes
• Limitar tiempo querys
• Desarrollo seguro de aplicaciones web.
• Encriptación del tráfico

CONTACTO
• BRIGADA DE INVESTIGACIÓN
TECNOLÓGICA
• C Julian Gonzalez Segador s/n 28.043
Madrid
• Tfno. 91/582.24.67
• Fax. 91/582.24.84
• Web: http://www.policia.es/bit/index.htm
• E-mail: seguridad.logica@policia.es
palonso@policia.es

Cid

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Cid

Similar a Cid (20)

Último

Último (20)

Cid