Este documento presenta una agenda para un foro sobre amenazas reales del mundo virtual y cómo mitigarlas. La agenda incluye discusiones sobre ciberseguridad, términos comunes, vectores de ataque técnicos e ingeniería social, así como demostraciones en vivo de ataques como phishing, inyección SQL, ataques web avanzados, ataques a móviles e Internet de las Cosas. También cubrirá amenazas de alto riesgo como malware indetectable y cómo hackear al ser humano a través de técnicas como la
2. DAVID PEREIRA
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS,
OPSEC, CICP, CCISO.
• +19 Años de experiencia en Seguridad Informática y DFIR
• Hacker Ético – Pentester en diversas entidades en el mundo, de
ámbitos como el Financiero, Energético, Militar, Inteligencia,
Diplomático, Minero, entre otros.
• Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares
y Policía, en varios Países.
• Conferencista Internacional
3. AGENDA – Primera Sesión
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
o Ciberseguridad
o Términos Comunes
o Vectores de ataque técnico
o Phishing (Robo de Claves y Datos Sensibles en Vivo)
o Inyección de SQL (Demostración en Vivo)
o Ataques WEB Avanzados del Lado del Cliente (Demostración en Vivo)
o Ataques a Móviles (Creación de Malware para Android en Vivo)
o Internet de las Cosas (Acceso a Dispositivos en el Mundo en Vivo)
o Vectores de ataques Humanos - Ingeniería social (demostraciones en vivo)
o Hackeando al humano
o Programación neurolingüística
o Lenguaje no verbal
o Amenazas de alto riesgo (demostración en vivo)
o Malware indetectable
Miércoles 27 de julio de 2016
5. GLOSARIO
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Ciberamenaza:
Actividad maliciosa potencial que puede ocurrir en el
ciberespacio.
El Atacante debe contar con:
Ciberataque:
Asalto que aprovecha una vulnerabilidad en un sistema conectado al
Ciberespacio.
Oportunidad Capacidad Intención
11. Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Ataques WEB del lado del Cliente
XSS
EJEMPLOS DE VECTORES DE ATAQUE
24. AGENDA SEGUNDA SESION
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
• Antiphishing para todos
• Prevención de Ataques DNS (Reflejado y Amplificado)
• Detección de Ataques WEB para usuarios finales
• Detección de Ataques WEB para Administradores y Webmasters
• Detección de Ataques de DoS y DDoS
• Mitigación Efectiva de Ataques DoS y DDoS
• Antimalware Avanzado para usuarios Finales
• Antimalware Avanzado para TI
• Phishing
• Inyección de SQL
Miércoles 27 de julio de 2016
30. DETECCION DoS y DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Tipos de Ataques DoS - DDoS
• TCP SYN Flood
• TCP SYN - ACK Reflection Flood (DRDoS)
• TCP Spoofed SYN Flood
• TCP ACK Flood
• TCP IP Fragmented Attack
• HTTP and HTTPS Flood Attacks
• INTELLIGENT HTTP and HTTPS Attacks
• ICMP Echo Request Flood
• UDP Flood Attack
• DNS Amplification Attacks
Miércoles 27 de julio de 2016
31. MITIGACION DoS - DDoS
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Syn Proxy
SYN Proxy
Syn
Syn / Ack
Ack
Cliente Legitimo
Atacante
Syn - Spoof
Syn/ Ack hacia el Spoof
Aggressive
Aging
Cierre de las Sesiones no contestadas
X
32. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Source Rate Limiting
Cuando hay un número limitado de ips origen para una Botnet, ella puede
utilizar sus IP para enviar paquetes con alta carga (agresivos).
Estos paquetes consumen recursos del servidor; este tipo de ataques
reciben el nombre de Multi-threaded
Mediante la identificación de valores atípicos en direcciones IP que
rompen las normas, se puede denegar el acceso a ancho de banda
excesivo.
Como las direcciones IP en este tipo de ataques no son predecibles, es
importante no perder de vista a millones de direcciones IP y su
comportamiento para aislar a los valores extremos.
Este aislamiento sólo se puede hacer en el hardware.
Miércoles 27 de julio de 2016
33. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Connection Limiting
Demasiadas conexiones pueden causar sobrecarga en un Servidor.
Limitando el numero de solicitudes de conexiones nuevas, se
le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones
existentes y limitando las solicitudes de nuevas conexiones,
permitiendo un mejor uso de la memoria del Servidor
Miércoles 27 de julio de 2016
34. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Dynamic Filtering
El filtrado Estático es una técnica común en firewalls, routers,
etc.. y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes
cambian constantemente.
El Filtrado Dinámico se logra identificando los comportamientos fuera de lo
normal y castigando este comportamiento por un periodo corto de tiempo,
creando reglas de Filtrado de corta duración durante el ataque y
eliminándolas posteriormente.
Miércoles 27 de julio de 2016
35. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por
medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en
cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque
individual.
La Técnica GRL identifica las tasas de transferencia de ataques anteriores;
Los umbrales se basan en comportamiento pasado, durante sesiones de
entrenamiento y se ajustan adaptativamente en el tiempo.
La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los
encabezados en la Capa 7; parámetros como:
Origen, Destino, Puertos, Método HTTP, URL, Agentes, Cookies, Host Referrer
Miércoles 27 de julio de 2016
36. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Country Based Access Control Lists (ACL)
Gran parte del tráfico Botnet se origina desde un número limitado de Países.
Estos Países probablemente no sean origen de tráfico normal dentro de la
Organización;
Por medio de Filtros basados en Países (IANA) se puede reducir
significativamente el tráfico que recibe el Servidor y por ende
la Carga, incluido tráfico spoof.
Es recomendable la implementación de estos controles a nivel
de Hardware y no de Software por temas de desempeño
Miércoles 27 de julio de 2016
37. MITIGACION DoS - DDoS
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Dark Address Scan Prevention
Las direcciones obscuras son direcciones ip que no han sido asignadas por la
IANA. (Bogon)
Cualquier paquete recibido de una de estas direcciones normalmente está
asociado a un ataque que involucra Spoofing.
• 108.8.180.1 (whois - Info: IANA Reserved)
• 0.66.154.180 (whois-Info: IANA Special Use, RFC 3330 )
• 248.4.49.192 (whois-Info: IANA Special Use, RFC 3330 )
• 94.39.203.54 (whois-Info: IANA Reserved)
Miércoles 27 de julio de 2016
38. MITIGACION DoS - DDoS
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
GeoDNS
Permite redireccionar las visitas de cualquier cliente de
acuerdo al lugar geográfico en donde esta posicionado
39. MITIGACION DoS - DDoS
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Pila de Mitigacion de DoS / DDoS
41. ANTIMALWARE AVANZADO PARA SYSADMINS
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
A nivel de TI podemos contar con:
Endpoint Protection (Symantec)
Consola Antimalware (Symantec, Kaspersky, etc..)
HIDS / HIPS (Consola)
NIDS / NIPS (Consola)
File Integrity Monitoring / Verifying (Tripwire)
Detección Avanzada (Sandbox) (Symantec)
42. PROTECCION SQLi
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
Algunas recomendaciones para TI para protegerse de los ataques SQLi, son:
• Utilizar WAF y crear reglados fuertes en él
• Symantec Malware Scan (Incluido con el certificado SSL
• Análisis de Vulnerabilidades Symantec (Incluido con el Certificado SSL)
• Pruebas Estáticas y Dinámicas al código Fuente del Sitio web
• Sanitizar el Input hacia el Sitio
• Defensa en profundidad de la Base de Datos
43. PREGUNTAS
Miércoles 27 de julio de 2016
FORO:AMENAZAS REALES DEL MUNDO
VIRTUAL Y CÓMO MITIGARLAS
David F. Pereira
Twitter: @d4v1dp3r31r4
Mail: david.pereira@secpro.org
Muchas gracias!!!!