1. Jefe del Grupo de Seguridad Lógica
Inspector Pablo Alonso
COMISARIA GENERAL DE POLICÍA JUDICIAL
U.D.E.F. CENTRAL
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
2. ORGANIZACIÓN OPERATIVA
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
SECCIÓN OPERATIVA I SECCIÓN OPERATIVA II SECCIÓN TÉCNICA
PROTECCIÓN AL MENOR
I y II
FRAUDE A LAS
TELECOMUNICACIONES
FRAUDES EN INTERNET
I y II
SEGURIDAD LÓGICA
INFORMES
APOYO TÉCNICO
FORMACIÓN
ESTUDIOS
I + D
PROPIEDAD
INTELECTUAL
Comisaría General de Policía Judicial
REDES ABIERTAS
3. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
La seguridad informática se
encarga de la identificación de las
vulnerabilidades de un sistema y
d e l e s t a b l e c i m i e n t o d e
contramedidas que eviten que las
distintas amenazas posibles
exploten estas vulnerabilidades.
¿Que es la seguridad?
4. “Proceso consistente en mantener
un nivel aceptable de riesgo
percibido”
Richard Bejtlich.
El Tao de la monitorización de seguridad en redes
Eventualmente TODO
sistema de seguridad
FALLARÁ.
CONCEPTO DE SEGURIDAD
5. Objetivos de la seguridad
• Garantizar el CID
– Confidencialidad: Que nadie más lo vea
– Integridad: Que nadie más lo cambie
– Disponibilidad: Que siempre esté ahí
• Implantar las reglas de Oro
– Autenticación: Quién es
– Autorización: Qué puede hacer
– Auditoría: Qué ocurrió
• Asegurar el No Repudio
– Que nadie pueda decir que él NO FUE
6. Conceptos Básicos
• Vulnerabilidad.
– Punto o aspecto del sistema o sus aplicaciones
que es susceptible de ser atacado o de dañar la
seguridad del mismo. Representan las
debilidades o aspectos falibles o atacables en un
sistema informático.
• Amenaza.
– Posible peligro para el sistema. Puede ser una
persona (hacker), un programa (virus, caballo
de Troya, ...), o un suceso natural o de otra
índole (fuego, inundación, etc.). Representan
los posibles atacantes o factores que
aprovechan las debilidades del sistema.
• Contramedida.
– Técnicas de protección del sistema contra las
amenazas.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
7. Seguridad Informática
CARACTERISTICAS A GARANTIZAR
•Disponibilidad
– El sistema se mantiene funcionando eficientemente y es
capaz de recuperarse rápidamente en caso de fallo.
•Integridad
– Permite asegurar que no se ha falseado la información, es
decir, que los datos recibidos o recuperados son
exactamente los que fueron enviados o almacenados, sin
que se haya producido ninguna modificación.
•Confidencialidad
– Capacidad del sistema para evitar que personas no
autorizadas puedan acceder a la información almacenada
en él.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
8. Seguridad Informática
OTROS ASPECTOS
•Autenticidad
– Permite asegurar el origen de la información. La identidad
del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.
•Consistencia
– Asegurar que el sistema se comporta como se supone que
debe hacerlo con los usuarios autorizados
•Aislamiento
– Regular el acceso al sistema, impidiendo que personas no
autorizadas entren en él.
•Auditoria
– Capacidad de determinar qué acciones o procesos se han
llevado a cabo en el sistema, y quién y cuándo las han
llevado a cabo.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
9. Seguridad Informática
PRINCIPIOS FUNDAMENTALES
•Principio de menor privilegio
– Cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para
desarrollar su tarea y ninguno más.
•Principio del eslabón más débil
– En todo sistema de seguridad, el máximo grado de seguridad no
es la suma de toda la cadena de medidas sino el grado de
seguridad de su eslabón más débil.
•Punto de control centralizado
– Se trata de establecer un único punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al
mismo tenga que pasar por él. No se trata de utilizar un sólo
mecanismo de seguridad, sino de "alinearlos" todos de modo que
el usuario tenga que pasar por ellos para acceder al sistema.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
10. Seguridad Informática
PRINCIPIOS FUNDAMENTALES
• Seguridad en caso de fallo
– Este principio afirma que en caso de que cualquier
mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.
• Participación universal
– Cualquier mecanismo de seguridad que establezcamos
puede ser vulnerable si existe la participación voluntaria
de algún usuario autorizado para romperlo.
• Simplicidad
– Mantener las cosas lo más simples posibles, las hace más
fáciles de comprender mientras que la complejidad
permite esconder múltiples fallos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
11. Seguridad Física y Ambiental
• La norma ISO establece dos
categorías:
– Áreas Seguras: Con la finalidad de
impedir el acceso no autorizado a las
instalaciones de la organización.
– Seguridad en los equipos: A fin de
impedir la perdida, daño o robo de la
información.
12. • Distingue tres fases:
– Antes de la contratación.
– Durante el desarrollo del empleo.
– En el cese o cambio de puesto de
trabajo.
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS.
13. Antes de la contratación.
– Se deben definir y documentar los
r o l e s y r e s p o n s a b i l i d a d e s e n
seguridad describiendo el puesto de
trabajo de acuerdo al documento de
políticas de seguridad.
– Se deben investigar los antecedentes
y referencias del candidato.
– L o s r o l e s , r e s p o n s a b i l i d a d e s ,
términos y condiciones del puesto de
trabajo deben figurar en el contrato.
14. Durante la contratación.
– Informar, concienciar y motivar a los
empleados para el cumplimiento de los
términos y condiciones establecidos en
materia de seguridad.
– Formar y capacitar al personal sobre sus
funciones y procedimientos respecto de la
seguridad.
– Fijar y documentar un régimen disciplinario
para las infracciones en materia de
seguridad
15. En el cese o cambio de puesto de
trabajo.
– Se deben definir y documentar los roles y
responsabilidades tras el cese incluyendo
cualquier cuestión relacionada con los
acuerdos de confidencialidad.
– Fijar procedimientos de devolución de todo
el material proporcionado por la
organización. En caso de equipos cedidos o
vendidos al trabajador garantizar la limpieza
de los equipos.
– Retirar los derechos de acceso que pudieran
habérsele otorgado.
– Los cambios de puesto de trabajo deben
tratarse como si fueran un cese y una nueva
contratación.
16. • El establecimiento de una política de
seguridad
• El análisis de riesgos y los planes de
contingencia
• La asignación de responsabilidades
• La política de personal
MEDIDAS DE PROTECCIÓN
ADMINISTRATIVAS Y ORGANIZATIVAS
17. POLÍTICAS DE SEGURIDAD
• a) Ninguna seguridad
• La medida más simple posible es no hacer ningún esfuerzo en
seguridad y tener la mínima, cualquiera que sea, por ejemplo la
que proporcione el vendedor de forma preestablecida.
• b) Seguridad a través de ser desconocido
• Con este planteamiento se supone que un sistema es seguro sólo
porque nadie sabe de él.
• c) Seguridad para anfitrión
• El modelo plantea reforzar la seguridad de cada máquina anfitrión
por separado, y hacer todo el esfuerzo para evitar o reducir los
problemas de
• seguridad que puedan afectar a ese anfitrión específico.
• d) Seguridad para redes
• Conforme los entornos se hacen más grandes y diversos, es más
difícil
• asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un
modelo
• de seguridad para redes
19. DINÁMICA DE LA SEGURIDAD
La Seguridad
NO es un proceso puntual,
es un proceso CONTINUO.
Estimación
Protección
Detección
Respuesta
20. RIESGO PARA LAS
ORGANIZACIONES
Riesgo = Amenaza x Vulnerabilidad x
Valor del bien
Amenaza Pasiva: Confidencialidad
(sniffer)
Amenaza Activa: Cambian el estado del
sistema
21. Es un conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de algún
recurso. Se definen o clasifican a partir de una política de
seguridad.
•Intrusiones para mal uso.- son ataques en puntos débiles
conocidos de un sistema. Pueden ser detectados
observando y buscando ciertas acciones que se realizan a
ciertos objetos.
•Intrusiones anómalas.- se basa en la observación de
desviaciones de los patrones de uso normales del
sistema. Pueden ser descubiertos construyendo un perfil
del sistema que se desea supervisar, y detectando
desviaciones significantes del perfil creado.
¿Que es una intrusión?
22. TIPOS DE ATAQUES
•Ataques contra la Disponibilidad
– Denegación de Servicios DOS, DDOS
•Ataques contra la Integridad
– Defacement.
•Ataques contra la Confidencialidad
– Fuerza Bruta, Robo de Credenciales, Robo de cookies,
Robo de información técnicas de inyección.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
23. Denegación de servicio
• Ataque DOS: Colapsar un sistema sobrecargándolo
de peticiones, de forma que sus usuarios legítimos
no puedan acceder.
• Ataque DDOS: es un ataque DOS distribuido. Se
usan múltiples equipos “zombis” que lanzan el
ataque simultáneamente.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
24. Botnets
•Sus funciones originales eran el
control de canales y la simulación
de participantes en juegos
multijugador.
• A c t u a l m e n t e s e u s a n
esencialmente para Ataques de
DDoS, envío de (SPAM), alojar
herramientas y componentes
destinados al fraude (Phising),
manipulación de encuestas,
votaciones y juegos online y
distribución de malware.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
• E l t e r m i n o “ b o t n e t ” h a c e
referencia a una red de bots
(originalmente robots de IRC
que simulaban una identidad
dentro de un canal).
25. Tipo de programa diseñado específicamente para cometer
delitos (crímenes) de tipo financiero o similares, intentando
pasar desapercibido por la víctima. Por extensión, también hace
referencia a aplicaciones web diseñadas con los mismos
objetivos.
Un crimeware puede robar identidades, datos confidenciales,
contraseñas, información bancaria, etc. También puede servir
parta robar la identidad o espiar a una persona o empresa.
El término fue ideado por Peter Cassidy, Secretario General del
Anti-Phishing Working Group, para distinguir este tipo de
software de otros malignos como malwares, spywares,
adwares, etc. (Aunque muchas veces éstos emplean técnicas
similares para propagarse o actuar).
La industria del crimeware sigue creciendo a través de la puesta
en desarrollo y comercialización de nuevos paquetes de exploits
pre-compilados que se suman a la oferta de alternativas
destinadas a facilitar las maniobras delictivas a través de
Internet.
CRIMEWARE
26. Black Hole Exploits Kit, una aplicación web desarrollada en
Rusia pero que además incorpora para su interfaz el idioma
inglés, y cuya primera versión (beta por el momento) está
intentando insertarse en el mercado clandestino desde principios
de septiembre de 2010. Su costo esta determinado en función
de una serie de características que intentan diferenciarlo del
resto.
Por ejemplo, adquirir este crimeware durante 1 año (por el
momento el tiempo máximo) tiene un costo de $ 1500 dólares,
mientras que una licencia semestral y trimestral, cuestan $
1000 y $ 700 respectivamente.
BLACK HOLE EXPLOITS KIT
28. • Objetivos de un ataque:
– Denegación de Servicio (DoS).
– Robo de la información (BBDD,
propiedad industrial…).
– Destruir / dañar información.
– Controlar la máquina objetivo
(BotNets, SPAM, DDoS).
¿QUÉ SE BUSCA EN UN ATAQUE?
29. TIPOS DE VULNERABILIDADES
• Técnicas (bug)
– Cross Site Scripting
– Inyección SQL
– Inyección de comandos
– Falsificación de frames
– Desbordamiento de búfer
– Listado directorios
– Archivos/directorios backup
– Archivos de configuración
– Etc.
• Lógicas o funcionales (flaw)
– Autenticación defectuosa
– Fallos en lógica de
negocio: no se valida un
número de tarjeta o de
cuenta
– Modificación de precios
– Modificación de cookies
– Escalada de privilegios
horizontal/vertical
– SSL no requerido
– Criptografía pobre
– Info++ en mensajes de
error
– Etc.
32. Tecnicas de Inyección
. El uso de tecnicas de inyección,
particularmente la inyección de SQL, son
muy frecuentes en todo tipo de incidentes
de seguridad en aplicaciones web.
• Ocurre cuando los datos proporcionados
por el usuario se envían a un interprete
como parte de un comando o consulta sin
validarlos.
• El atacante puede manipular la entrada
para forzar al interprete a ejecutar otras
consultas extrayendo o modificando los
registros de la base de datos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
33. Ejemplos de SQL
Inyection
• ‘ OR ‘1’=‘1
• ‘;UPDATE usuarios SET
(password) VALUES (md5
(‘mipass’)) where user=‘admin
• ‘ EXEC master..xp-cmdshell ‘cmd
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
34. Soluciones.
• Validación de entrada: Comprobar longitud,
tipo, sintaxis … de todos los datos de
entrada antes de ser mostrados o
almacenados.
• Permitir los mínimos privilegios necesarios a
las aplicaciones que conectan a bases de
datos.
• Evitar mensajes de error detallados.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
35. Cross Site Scripting (XSS)
• El Cross site scripting, también conocido
como XSS, es un tipo de inyección HTML
que se produce cuando una aplicación toma
datos introducidos por el usuario y los envía
al navegador sin validarlos o codificarlos.
• El script malicioso suele estar construido en
JavaScript pero existen variantes en otros
lenguajes de script.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
36. Cross Site Scripting (XSS)
• Permite al atacante ejecutar código en el
navegador de la victima.
• Sus finalidades pueden ser:
– Desfigurar una web (“Deface”)
– Insertar contenido inadecuado.
– Robo de sesiones
– Ataques de suplantación (“Phising”)
– Tomar el control del navegador
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
37. Soluciones.
• Validación de entrada:
• Usar un mecanismo de validación de entrada
que compruebe longitud, tipo, sintaxis … de
todos los datos de entrada antes de ser
mostrados o almacenados.
• Codificación de salida:
• Codificar los datos de forma apropiada. (ej,
HTML Entities o MS Anti XSS library) de modo
que no puedan llegar a mostrarse o
almacenarse en forma ejecutable.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
38. ¿Qué es un exploit?
Es una pieza de software, un
fragmento de datos, o una
secuencia de comandos cuyo
objetivo es automatizar el
aprovechamiento de una
vulnerabilidad.
43. • RBN, ofrece una completa infraestructura para los
ciberdelitos. Phishing, malware, ataques DDoS,
pornografía infantil…etc son soportados por este ISP
ruso. Para ello, se pone a disposición del cliente varias
botnets, shells remotas en servidores crackeados,
servidores centralizados de gestión de estas
actividades…etc.
• La RBN se encuentra en S. Petersburgo (Rusia) y
proporciona alojamiento web. Su actividad está tan
íntimamente relacionada con la industria del malware,
que muchos nodos han decidido bloquear directamente
toda conexión con direcciones pertenecientes a esta
red. Y no sólo malware. Se dice que la mitad del
phishing mundial está alojado impunemente en alguno
de sus servidores.
• En los últimos años no es fácil encontrar un incidente
criminal a gran escala en la que no aparezcan por algún
sitio las siglas RBN (o "TooCoin" o "ValueDot",
nombres anteriores con los que ha sido conocida).
RUSSIAN BUSINESS NETWORK
(Equipos a prueba de balas)
46. CONSEJOS GENERALES
• Deshabilitar servicios y cuentas no utilizados.
• Actualización de S.O. y aplicaciones (parches).
• Uso de “buenas” contraseñas.
• Utilización de Firewalls
• Chequeo de integridad de aplicaciones y S.O.
• Back-ups periódicos.
• Análisis periódico de logs, monitorizar y graficar estadísticas.
• Auditar con escaners de vulnerabilidades
• Consultar Listas de vulnerabilidades
• Limitar y controlar uso de programación del lado del cliente
(javascript)
• Técnicas de defensa a fondo y puntos de choque en redes
• Limitar tiempo querys
• Desarrollo seguro de aplicaciones web.
• Encriptación del tráfico
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA
47. CONTACTO
• BRIGADA DE INVESTIGACIÓN
TECNOLÓGICA
• C Julian Gonzalez Segador s/n 28.043
Madrid
• Tfno. 91/582.24.67
• Fax. 91/582.24.84
• Web: http://www.policia.es/bit/index.htm
• E-mail: seguridad.logica@policia.es
palonso@policia.es
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
CUERPO NACIONAL DE POLICIA