Peligros del mundo virtual

FORO:
AMENAZAS REALES DEL MUNDO VIRTUAL
Y CÓMO MITIGARLAS
Miércoles 27 de julio de 2016

DAVID PEREIRA
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS,
OPSEC, CICP, CCISO.
• +19 Años de experiencia en Seguridad Informática y DFIR
• Hacker Ético – Pentester en diversas entidades en el mundo, de
ámbitos como el Financiero, Energético, Militar, Inteligencia,
Diplomático, Minero, entre otros.
• Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares
y Policía, en varios Países.
• Conferencista Internacional

AGENDA – Primera Sesión
o Ciberseguridad
o Términos Comunes
o Vectores de ataque técnico
o Phishing (Robo de Claves y Datos Sensibles en Vivo)
o Inyección de SQL (Demostración en Vivo)
o Ataques WEB Avanzados del Lado del Cliente (Demostración en Vivo)
o Ataques a Móviles (Creación de Malware para Android en Vivo)
o Internet de las Cosas (Acceso a Dispositivos en el Mundo en Vivo)
o Vectores de ataques Humanos - Ingeniería social (demostraciones en vivo)
o Hackeando al humano
o Programación neurolingüística
o Lenguaje no verbal
o Amenazas de alto riesgo (demostración en vivo)
o Malware indetectable

CIBERSEGURIDAD
Estrategias Políticas Estándares
Seguridad de las Operaciones en el Ciberespacio
Reducción de
Amenaza
Reducción de
Vulnerabilidad
Disuación
Aseguramiento
de la Info.
Respuesta a
Incidentes
Resiliencia
Recuperación
de Desastres

GLOSARIO
Ciberamenaza:
Actividad maliciosa potencial que puede ocurrir en el
ciberespacio.
El Atacante debe contar con:
Ciberataque:
Asalto que aprovecha una vulnerabilidad en un sistema conectado al
Ciberespacio.
Oportunidad Capacidad Intención

CONCEPTOS
Amenaza:
Peligro potencial de que ocurra algún evento adverso que pueda
afectar la prestación de un servicio.
Vulnerabilidad:
Debilidad existente por: Diseño, Desarrollo, Implementación,
Configuración de una aplicación o servicio que puede ser
aprovechada por un potencial atacante para tomar ventaja de ella.

CONCEPTOS
Ataque:
Asalto directo a un sistema o sus componentes que puedan afectar la
Integridad, Disponibilidad o Confidencialidad de la información.
Malware:
Tipo específico de software creado con propósitos dañinos,
maliciosos e incluso económicos.
Ej. Ransomware, Rootkit, Troyano, Sparse, Oligomorficos.

EJEMPLOS DE VECTORES DE ATAQUE
Phishing:
Falsificación de un sitio web con el objetivo de recibir la solicitud de login o
acceso de un usuario que ha llegado a él por medio de un enlace malicioso
en un correo electrónico o un ataque de re direccionamiento, a fin de robar
sus credenciales o información privilegiada.
Inyección SQL (SQLi)
Ataque que toma ventaja de fallos en la programación de un sitio WEB o
una aplicación, por medio de la falta de sanitización en el input de datos en
un sitio o por fallos de verificación booleana de los valores suministrados.

Ataques WEB del lado del Cliente
Múltiples ataques pueden ser generados contra el cliente al navegar
un sitio WEB; algunos ejemplos son:
Inyección (LDAP, SQL, Comandos)
Ocurre cuando datos no confiables son enviados a un
intérprete como parte de un comando o consulta. Los datos hostiles
del atacante pueden engañar al interprete en ejecutar comandos no
intencionados o acceder datos no autorizados.

XSS
Las fallas XSS ocurren cada vez que una aplicación toma datos no
confiables y los envía al navegador web sin una validación y
codificación apropiada. XSS permite a los atacantes ejecutar
secuencias de comandos en el navegador de la victima los cuales
pueden secuestrar las sesiones de usuario, destruir sitios web, o
dirigir al usuario hacia un sitio malicioso.

XSS

CSRF
Un ataque CSRF obliga al navegador de una victima autenticada a
enviar una petición HTTP falsificada, incluyendo la sesión del usuario
y cualquier otra información de autenticación incluida
automáticamente, a una aplicación web vulnerable.
Esto permite al atacante forzar al navegador de la víctima para
generar pedidos que la aplicación vulnerable asume como peticiones
legítimas provenientes de la victima.

CSRF
Sitio Malicioso.com
1. El Cliente navega un sitio Legitimo
2. El Cliente
visita un sitio
malicioso
generando
una sesión en
otra pestaña.
3. Por medio de la sesión establecida, con el cliente, el sitio
malicioso envía peticiones al sitio legitimo en nombre de la
victima
Sitio Legitimo.com

JavaScript
Al navegar un sitio, se ejecutan de manera automática múltiples
códigos de tipo Script.
Esto puede ser utilizado para generar diversos ataques, desde
capturar datos hasta ejecutar comandos de Sistema Operativo en la
máquina víctima.

Session Fixation
Un atacante puede enviar por correo electrónico una sesión
previamente establecida con un id generado para el atacante y
cuando la víctima haga click sobre el enlace va a ser dirigido al sitio
para recibir sus credenciales pero va a loguearse con el id de sesión
del atacante.

Malware en Dispositivos Móviles:
Casi todo el malware de móviles se orienta a monetización;
Tenemos:
• Troyanos Bancarios (Captura de TAN) ej. Trojan-Spy.AndroidOS.SmsThief.fc
• Ransomware
• Publicidad Agresiva
• Reempaquetado de Aplicaciones

Internet de las Cosas (IoT)
La insaciable necesidad de interconectar nuestra vida genera nuevos
vectores: (Smart TV, Relojes Inteligentes, Cámaras WEB, etc.)
Esto facilita la vida de los atacantes y se suma que los dispositivos IoT
no están orientados a la Seguridad sino a la funcionalidad, generando
tráfico sin encriptar, almacenamiento inseguro, funciones por defecto,
etc..

VECTORES DE ATAQUE A HUMANOS
Hackeando al Humano
La naturaleza de las personas es confiar los unos en los otros, y de eso se
vale la Ingeniería Social, que podemos definir como: El Arte del Engaño;
Se utiliza para recabar información que normalmente una persona no
compartiría.
Algunas Técnicas:
Dumpster Diving
Tailgating
PiggyBacking

VECTORES DE ATAQUE A HUMANOS
Programación Neurolingüística (PNL)
Estas técnicas se pueden utilizar para tratar de:
1. Detectar la veracidad de las respuestas de una persona
2. Determinar el nivel de Convencimiento que se está logrando
3. Influenciar a la persona para lograr un objetivo

VECTORE S DE ATAQUE A HUMANOS
Programación Neurolingüística (PNL)

VECTORE S DE ATAQUE A HUMANOS
Lenguaje No Verbal
Nuestro cuerpo y expresiones no mienten!
Por medio de este conocimiento podemos determinar factores de
conexión o desconexión de una persona para con su interlocutor,
niveles de stress, comodidad, aprehensión, etc..
Se basa en reacciones límbicas que no controlamos conscientemente.

AMENAZAS DE ALTO RIESGO
Malware Indetectable
Existen muchas amenazas de alto riesgo para un usuario final, pero pensamos que una de las
más peligrosas consiste en el Malware que ningún mecanismo de Antimalware o de detección
esté en capacidad de contramedir o detectar.
Tenemos muchos ejemplos de técnicas avanzadas utilizadas para generar la indetectabilidad,
pero mencionaremos algunas:
1. Codificación, Ofuscación, Encripción
2. Separación Entre Cabby, Stub y Payload
3. Shell Scripting
4. Anti Heurística
5. Anti Debugging
6. Alta Latencia

PREGUNTAS
David F. Pereira
Twitter: @d4v1dp3r31r4
Mail: david.pereira@secpro.org
Muchas gracias!!!!

AGENDA SEGUNDA SESION
• Antiphishing para todos
• Prevención de Ataques DNS (Reflejado y Amplificado)
• Detección de Ataques WEB para usuarios finales
• Detección de Ataques WEB para Administradores y Webmasters
• Detección de Ataques de DoS y DDoS
• Mitigación Efectiva de Ataques DoS y DDoS
• Antimalware Avanzado para usuarios Finales
• Antimalware Avanzado para TI
• Phishing
• Inyección de SQL

ANTIPHISHING PARA TODOS
El Phishing crece día a día, en una progresión geométrica que tiende al infinito;
La única manera efectiva de defendernos es concientizarnos y decidir no ser nunca más una
víctima;
Tenemos ciertos parámetros que nos permiten identificar el Phishing y algunas herramientas.
Que debo Buscar? (Validez del Certificado SSL)
Herramientas:
Netcraft AntiPhishing Toolbar
Phishtank

PREVENCION DE ATAQUES DNS
Existen muchos ataques contra los Servidores DNS;
Entre algunos de los más peligrosos tenemos el ataque Reflejado y Amplificado de DNS:
Atacante
Hace spoof
de la IP de la
Victima
Botnet del
Atacante
Peticiones
Pequeñas
Origen Falso
Respuestas Amplificadas
de los Open Resolvers
Servidor
Victima

PREVENCION DE ATAQUES DNS
Prevención y Mitigación:
• No Recursividad en Nuestros Servidores DNS Autoritativos
• Verificación de Ip de Origen (Anti Spoofing)
• Lista de Hosts permitidos o de confianza
• Response Rate Limiting

DETECCION DE ATAQUES WEB PARA USUARIOS
No es simple para un usuario el lograr detectar que esta recibiendo un ataque a través de un Sitio WEB;
No obstante existen algunas herramientas y procedimientos que pueden disminuir el nivel de riesgo del
Usuario; entre otros tenemos:
• Suite de Seguridad
• Sentido Común
• Siempre Desconfiar
Herramientas:
• NoScript
• Ghostery
• Better Privacy
• Ad Blocker

DETECCION DE ATAQUES WEB PARA SYSADMINS
Un Sysadmin tiene a la mano herramientas que permiten incrementar su nivel de seguridad y disminuir el
nivel de riesgo; algunos ejemplos son:
• WAF
• Reglados de Detección Fuertes
• IPS IDS
• Logging
• Correlacionamiento
• SIEM
• Proxy Terminacion SSL

DETECCION DoS y DDoS
Tipos de Ataques DoS - DDoS
• TCP SYN Flood
• TCP SYN - ACK Reflection Flood (DRDoS)
• TCP Spoofed SYN Flood
• TCP ACK Flood
• TCP IP Fragmented Attack
• HTTP and HTTPS Flood Attacks
• INTELLIGENT HTTP and HTTPS Attacks
• ICMP Echo Request Flood
• UDP Flood Attack
• DNS Amplification Attacks

MITIGACION DoS - DDoS
Syn Proxy
SYN Proxy
Syn
Syn / Ack
Ack
Cliente Legitimo
Atacante
Syn - Spoof
Syn/ Ack hacia el Spoof
Aggressive
Aging
Cierre de las Sesiones no contestadas
X

Source Rate Limiting
Cuando hay un número limitado de ips origen para una Botnet, ella puede
utilizar sus IP para enviar paquetes con alta carga (agresivos).
Estos paquetes consumen recursos del servidor; este tipo de ataques
reciben el nombre de Multi-threaded
Mediante la identificación de valores atípicos en direcciones IP que
rompen las normas, se puede denegar el acceso a ancho de banda
excesivo.
Como las direcciones IP en este tipo de ataques no son predecibles, es
importante no perder de vista a millones de direcciones IP y su
comportamiento para aislar a los valores extremos.
Este aislamiento sólo se puede hacer en el hardware.

Connection Limiting
Demasiadas conexiones pueden causar sobrecarga en un Servidor.
Limitando el numero de solicitudes de conexiones nuevas, se
le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones
existentes y limitando las solicitudes de nuevas conexiones,
permitiendo un mejor uso de la memoria del Servidor

Dynamic Filtering
El filtrado Estático es una técnica común en firewalls, routers,
etc.. y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes
cambian constantemente.
El Filtrado Dinámico se logra identificando los comportamientos fuera de lo
normal y castigando este comportamiento por un periodo corto de tiempo,
creando reglas de Filtrado de corta duración durante el ataque y
eliminándolas posteriormente.

Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por
medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en
cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque
individual.
La Técnica GRL identifica las tasas de transferencia de ataques anteriores;
Los umbrales se basan en comportamiento pasado, durante sesiones de
entrenamiento y se ajustan adaptativamente en el tiempo.
La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los
encabezados en la Capa 7; parámetros como:
Origen, Destino, Puertos, Método HTTP, URL, Agentes, Cookies, Host Referrer

Country Based Access Control Lists (ACL)
Gran parte del tráfico Botnet se origina desde un número limitado de Países.
Estos Países probablemente no sean origen de tráfico normal dentro de la
Organización;
Por medio de Filtros basados en Países (IANA) se puede reducir
significativamente el tráfico que recibe el Servidor y por ende
la Carga, incluido tráfico spoof.
Es recomendable la implementación de estos controles a nivel
de Hardware y no de Software por temas de desempeño

Dark Address Scan Prevention
Las direcciones obscuras son direcciones ip que no han sido asignadas por la
IANA. (Bogon)
Cualquier paquete recibido de una de estas direcciones normalmente está
asociado a un ataque que involucra Spoofing.
• 108.8.180.1 (whois - Info: IANA Reserved)
• 0.66.154.180 (whois-Info: IANA Special Use, RFC 3330 )
• 248.4.49.192 (whois-Info: IANA Special Use, RFC 3330 )
• 94.39.203.54 (whois-Info: IANA Reserved)

GeoDNS
Permite redireccionar las visitas de cualquier cliente de
acuerdo al lugar geográfico en donde esta posicionado

Pila de Mitigacion de DoS / DDoS

ANTIMALWARE PARA USUARIOS
Los Usuarios no tienen que estar indefensos ante el Malware Avanzado;
Algunas Recomendaciones son:
• Sentido Común
• Suite de Seguridad
• Ciber Higiene
• Revisión de Enlaces
• Uso de Sandbox WEB
• https://www.virustotal.com/es/
• https://virusscan.jotti.org/
• http://www.threatexpert.com/submit.aspx
• No Promiscuidad
• HIDS / HIPS
• File Integrity Monitoring / Verifying

ANTIMALWARE AVANZADO PARA SYSADMINS
A nivel de TI podemos contar con:
Endpoint Protection (Symantec)
Consola Antimalware (Symantec, Kaspersky, etc..)
HIDS / HIPS (Consola)
NIDS / NIPS (Consola)
File Integrity Monitoring / Verifying (Tripwire)
Detección Avanzada (Sandbox) (Symantec)

PROTECCION SQLi
Algunas recomendaciones para TI para protegerse de los ataques SQLi, son:
• Utilizar WAF y crear reglados fuertes en él
• Symantec Malware Scan (Incluido con el certificado SSL
• Análisis de Vulnerabilidades Symantec (Incluido con el Certificado SSL)
• Pruebas Estáticas y Dinámicas al código Fuente del Sitio web
• Sanitizar el Input hacia el Sitio
• Defensa en profundidad de la Base de Datos

PREGUNTAS
David F. Pereira
Twitter: @d4v1dp3r31r4
Mail: david.pereira@secpro.org
Muchas gracias!!!!

Peligros del mundo virtual

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (18)

Destacado

Destacado (20)

Similar a Peligros del mundo virtual

Similar a Peligros del mundo virtual (20)

Más de Secpro - Security Professionals

Más de Secpro - Security Professionals (6)

Último

Último (16)

Peligros del mundo virtual