2. Target: Cronología
● Atacantes engañan a un proveedor HVAC de
Target
● Usan sus credenciales para acceder al sistema de
control de aire
● Doble ataque:
– Infectan servidores de archivos Windows
– Infectan terminales POS (no parchados)
● POS infectados envían datos de tarjetas de crédito
a servidores Windows infectados, quienes los
transmiten a servidores externos
3. Target: ¿Qué falló?
● Excesiva confianza en proveedores
● No hubo una real preocupación por la seguridad
– No habían oficiales de seguridad ni CISO
– Los terminales POS eran Windows XP no
actualizados y sin medidas anti-malware
● “Pero si están en una red aislada. ¿Quién podría
atacarnos?”
● Hubo alertas tempranas, pero fueron ignoradas
4. Target: ¿Qué falló?
● Mal manejo posterior al incidente
– CEO despedido
– Preocupados más por “comprar cajitas” que de
entrenar a sus empleados
– Información mal dada al público
● Incompleta al principio: Dijeron que fueron 40 y no 70
millones de registros de clientes los afectados
● Tardía: El ataque se realizó un mes antes, y recién cuando
un investigador la reveló públicamente la reconocieron
5. Protección de la Información
Una necesidad en los tiempos modernos
Cristián Rojas, CSSLP
Consultor independiente en Seguridad de la Información
Profesor de Seguridad de la Información, MTIG PUC
Foto: perspec_photo88 / CC BY-SA 2.0
6. En esta sesión
1. ¿Qué es la seguridad?
2. ¿Quiénes son los enemigos?
3. ¿Cuáles son las consecuencias de un ataque?
4. ¿Es importante la seguridad?
5. ¿Qué hacemos para proteger nuestra
información?
8. Seguridad de la Información
● Capacidad de un sistema de operar en un
ambiente hostil
– Por ejemplo, Internet
– ¿Hay algún otro?
● CIA
¿ ?
9. CIA: Confidencialidad
● La información sólo
puede ser mostrada a
quién corresponde
– Controles de acceso
– Encriptación
– Esteganografía
10. CIA: Integridad
● La información no debe ser alterada por terceros
– Los datos transmitidos, procesados y almacenados
deben ser tan precisos como quien los originó quiso
– El software debe desempeñarse en forma confiable
● Aspectos:
– Hashing
– Autenticidad (Certificados Digitales, etc.)
– No-repudiación
11. CIA: Disponibilidad (Availability)
● La información debe
estar disponible
– ¿Cuándo?
– ¿Para quién?
● Aspectos:
– Uptime
– Redundancia
– SLA's
– DoS
15. Me han contado que los mejores
crackers del mundo hacen esta
pega en 60 minutos...
Lamentablemente yo necesito a
alguien que la haga en 60
segundos.
"Swordfish", Warner Bros, 2001.
25. Howard, Lipner: “The Security Development Lifecycle”
El modelo STRIDE
● Spoofing
● Tampering
● Repudiation
● Information Disclosure
● Denial of Service
● Elevation of Privilege
34. Requisitos Diseño Implementación Pruebas Operación
1X 1X
7X
15X
100X
IBM Systems Sciences Institute, “Implementing Software Inspections”
35. generando a los atacantes
ganancias por
USD 53.7millones
De las cuales entre
1-3 millones
ya han sido vendidas en el
mercado negro
Target: Los números
40millones
de tarjetas de crédito robadas
70millones
de registros de clientes
robados
46%de caída en las ganancias
de Target respecto al año
anterior
0oficiales de seguridad en
Target
200
Millones (USD)
costará a bancos comunitarios y
cooperativas reemitir
la mitad
de las tarjetas de crédito robadas
Krebs on Security: “The Target Breach, By the Numbers”
40. El eslabón más débil: La password
● Usar buenas
passwords
– Largas, que combinen
números, mayúsculas,
minúsculas y símbolos
– Que no tengan
información
relacionable (ej. fecha
de cumpleaños,
nombres...) http//xkcd.com/936
42. El eslabón más débil: La password
● No usar una sóla password para todo. Usar
compartimentalización
– ¿Y cómo recordamos tantas passwords?
● Protegerlas tanto durante el transporte como al
almacenarlas
● No usar passwords cognitivas
44. Otras formas de autentificación
● Factores de
Autentificación:
– Conocimiento
– Propiedad
– Característica
● 2FA: El uso de 2 de éstos
es considerado seguro
● “Algo que eres” es
delicado
purpleslog@flickr (CC BY 2.0)
46. Los desafíos de la Nube
Foto: perspec_photo88 / CC BY-SA 2.0
47. Herramientas de seguridad
● Criptografía
– Simétrica
– Asimétrica
– Hashing
● Anti-malware
● Gestión de identidades
● Detección de intrusos
(IDS)
● Protección contra
pérdida de datos (DLP)
● Firewalls
● Scanners de seguridad
● Security Information and
Event Management
(SIEM)
48. Pero no podemos olvidar la herramienta más importante
Google Street View
49. Desarrollar aplicaciones seguras
● Hacer el software
seguro desde el
principio
● Adentrarse en
conceptos de
seguridad para
programación
● Auditar código,
configuraciones,
servicios, ejecutables...
Developers!
52. “No seas un idiota”*
● Puedes saber sólo lo
que el usuario te dice
● Puedes compartir sólo
lo que el usuario te diga
● ... y con quién te lo diga
● ... y sólo si él quiere
hacer algo que lo
requiera
* Graham Lee, “Don't be a dick”
53. En resumen
● Las amenazas a la información pueden venir de
fuera, pero también quienes manejan la información
pueden constituir una amenaza a ésta
● El valor de la seguridad no puede verse en
términos de ROI, sino en el evitar perder el valor
ganado con el uso de sistemas de información
● La seguridad es algo que se debe pensar desde el
principio, no “pegar con cinta de embalaje” después
de la implementación de sistemas de información
54. Bibliografía interesante
● Verizon, “2014 Data Breach Investigations Report”
● Counsil on Cybersecurity, “The Critical Security Controls
for Effective Cyber Defense” (ver. 5.0)
● Imperva: “The Anatomy of an Anonymous Attack”
● Adam Shostack, “Threat Modeling: Designing for Security”
● OWASP Top 10 2013
● Ross Anderson, “Security Engineering”
● NIST, SP 800-100, “Information Security Handbook: A
Guide for Managers”
● NIST, SP 800-61 rev. 2, “Computer Security Incident
Handling Guide”
55. Sitios web interesantes
● SOPHOS, “Naked Security” y “60 Second
Security”
https://nakedsecurity.sophos.com
● ESET, “We Live Security”
http://www.welivesecurity.com/la-es/
● Ars Technica, Risk Assessment – Security &
Hacktivism
http://arstechnica.com/security/