O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Robo de información en
          infraestructuras IT & SCADA

          José Ramón Palanco




miércoles 3 de octubre de 12
Índice


    1.El problema

    2.Clasificación de la información


    3.Escenario de robo/fuga de información

    4.Evol...
El problema
miércoles 3 de octubre de 12
El problema

       • Cada vez tratamos con más información


       • Mayor volumen de tráfico a través de Internet


    ...
Conductas detectadas

       • Uso de aplicaciones no autorizadas


       • Uso indebido de dispositivos de trabajo


   ...
Origen del robo




                               Fuente: INEGI



miércoles 3 de octubre de 12
Origen del robo


                   Europa / USA
                       Interno   Externo



                       24%

...
Origen del robo


                   Europa / USA                  México
                       Interno   Externo    Inte...
Perdida de información




miércoles 3 de octubre de 12
Perdida de información

                               Robo de información
                               Extravío de disp...
Ataques comunes

       •Ataques malware

       •Fallos de software

       •Errores humanos

       •Actos de espionaje ...
Presupuesto en seguridad
                100
                                      12     11
                             ...
Términos

       • Integridad: Es la garantía de que   • Impacto: Es la medida en la que
         los datos están protegid...
Activo                                              Amenaza

                                                             ...
Clasificación de la
                                     información
miércoles 3 de octubre de 12
Tipos de información

       • Restringida: Información de uso exclusivo de un grupo de personas de la
         organizaci...
Escenarios de robo/fuga
                             de información
miércoles 3 de octubre de 12
Corporate Network scheme




miércoles 3 de octubre de 12
Threats to data
        • Insecurity of access to information derived from users unconsciously




miércoles 3 de octubre ...
Threats to data
        • Malicious users create insecurity in the management of corporate
          information




miérc...
Threats to data
        • Corporate information suffers an additional threat to the possibility of
          external atta...
New concerns




miércoles 3 de octubre de 12
Evolución de los
                      ataques
miércoles 3 de octubre de 12
Ataque clásico

       • Buscan servidores corporativos
         vulnerables expuestos en la
         DMZ


       • Una v...
Ataque clásico: Obtención de información

       • Se usan diferentes herramientas que permiten ayudar a descubrir máquina...
Ataque clásico: Escaneo / Enumeración

       • Análisis de zonas DNS


       • GHDB/BHDB


       • Identificación de sis...
Ataque clásico: Ganar acceso

       • Claves por defecto


       • Identificación de software vulnerable: nessus


      ...
Ataque clásico: Mantener acceso: rootkits

       • LKM para Linux (KBeast)


       • LD_PRELOAD Linux (Jynx Kit)


     ...
Ataque clásico: Cubrir huellas

       • Limpieza de ficheros de logs


             • wtmp


             • wtmpx


      ...
APT: Advanced Persisten Threat

       • Adaptación del modus operandi
         de mass infection botnets


       • Advan...
APT: Aurora Operation

       • Ataque coordinado contra 30
         compañías (Google, Adobe,
         Juniper, ..)


   ...
APT: Obtención de información

       • Análisis de la organización


             • empleados y organigrama


           ...
APT: investigación de explotación

       • Una vez conocido el software utilizado por una organización se procede a
     ...
APT: Creación de malware

       • Puede hacerse a medida ó utilizarse builders para:


             • ZeuS


            ...
APT: Protocolo C&C

       • Es un protocolo que permite a los atacantes tomar control de la máquina
         infectada y ...
APT: Ingeniería social / Spear phishing

       • SET: Social Engineering Toolkit


             • DNS Spoofing


         ...
APT SCADA

       • Supervisory Control And Data
         Acquisition


             • Procesos industriales
             ...
APT: SCADA STUXNET

       • Descubierto en Junio 2010


       • Aprovechaba una vulnerabilidad zero day que afectó a SIE...
APT: SCADA DUQU

       • Descubierto en Septiembre del 2010


       • Explotaba una vulnerabilidad zero day que afectó a...
APT: ESPIONAJE FLAME

       • También conocido como sKyWIper


       • Descubierto en Mayo del 2012


       • Usado par...
APT SCADA: Obtención de información

       • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA
     ...
Respuesta ante ataques
miércoles 3 de octubre de 12
Protección ante fuga de datos

       • Data Leakage Protection


             • Control de tráfico de red en diferentes pr...
Prevención de ataques clásicos



       • Preventivos / proactivos


             • Firewall


             • IPS


     ...
Prevención de APT

       • Preventivo


             • No es 100% eficaz


             • Análisis en tiempo real de ficher...
Preguntas

miércoles 3 de octubre de 12
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

0

Compartilhar

Robo de información

Baixar para ler offline

Robo de información en infraestructuras IT y SCADA

  • Seja a primeira pessoa a gostar disto

Robo de información

  1. 1. Robo de información en infraestructuras IT & SCADA José Ramón Palanco miércoles 3 de octubre de 12
  2. 2. Índice 1.El problema 2.Clasificación de la información 3.Escenario de robo/fuga de información 4.Evolución de los ataques 5.Respuesta ante ataques 6.Preguntas miércoles 3 de octubre de 12
  3. 3. El problema miércoles 3 de octubre de 12
  4. 4. El problema • Cada vez tratamos con más información • Mayor volumen de tráfico a través de Internet • Incremento de usuarios que acceden a los datos miércoles 3 de octubre de 12
  5. 5. Conductas detectadas • Uso de aplicaciones no autorizadas • Uso indebido de dispositivos de trabajo • Acceso no autorizado (físico y lógico) • Seguridad en trabajadores remotos • Uso indebido de claves miércoles 3 de octubre de 12
  6. 6. Origen del robo Fuente: INEGI miércoles 3 de octubre de 12
  7. 7. Origen del robo Europa / USA Interno Externo 24% 76% Fuente: INEGI miércoles 3 de octubre de 12
  8. 8. Origen del robo Europa / USA México Interno Externo Interno Externo 24% 33% 67% 76% Fuente: INEGI miércoles 3 de octubre de 12
  9. 9. Perdida de información miércoles 3 de octubre de 12
  10. 10. Perdida de información Robo de información Extravío de dispositivos 29% 71% miércoles 3 de octubre de 12
  11. 11. Ataques comunes •Ataques malware •Fallos de software •Errores humanos •Actos de espionaje e invasión •Actos de sabotaje y vandalismo miércoles 3 de octubre de 12
  12. 12. Presupuesto en seguridad 100 12 11 22 18 75 23 24 24 1% - 1-2% 50 6 26 3-5% 11 8 6-7% 6 8-10% 10 11 10% + 25 11 Desconocido 13 12 7 14 15 16 0 Fuente: CSI Survey 2006 2007 2008 miércoles 3 de octubre de 12
  13. 13. Términos • Integridad: Es la garantía de que • Impacto: Es la medida en la que los datos están protegidos de ser se materializa una amenaza modificados de manera accidental o deliberada • Riesgo: Probabilidad de que se produzca un impacto • Disponibilidad: Es la capacidad determinado en un activo, de permitir que la información dominio ó en toda la esté accesible para ser obtenida organización • Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una información que es necesario amenaza de un activo debido a para que la organización los defectos de un sistema funcione correctamente • Ataque: Evento que atenta sobre • Amenaza: Evento que puede los sistemas que rodean un desencadenar un incidente en la activo con el fin de organización. Implica que se comprometerlos vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataque miércoles 3 de octubre de 12
  14. 14. Activo Amenaza Frecuencia de materialización Impacto Vulnerabilidad Riesgo Decisión Reduce Reduce Servicio de salvaguarda Implementación Minimizadora Preventiva Mecanismos de salvaguarda Se incorpora a miércoles 3 de octubre de 12
  15. 15. Clasificación de la información miércoles 3 de octubre de 12
  16. 16. Tipos de información • Restringida: Información de uso exclusivo de un grupo de personas de la organización • Altamente confidencial • Confidencial • Interna • Pública miércoles 3 de octubre de 12
  17. 17. Escenarios de robo/fuga de información miércoles 3 de octubre de 12
  18. 18. Corporate Network scheme miércoles 3 de octubre de 12
  19. 19. Threats to data • Insecurity of access to information derived from users unconsciously miércoles 3 de octubre de 12
  20. 20. Threats to data • Malicious users create insecurity in the management of corporate information miércoles 3 de octubre de 12
  21. 21. Threats to data • Corporate information suffers an additional threat to the possibility of external attacks by hackers or competitors miércoles 3 de octubre de 12
  22. 22. New concerns miércoles 3 de octubre de 12
  23. 23. Evolución de los ataques miércoles 3 de octubre de 12
  24. 24. Ataque clásico • Buscan servidores corporativos vulnerables expuestos en la DMZ • Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna • Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemas miércoles 3 de octubre de 12
  25. 25. Ataque clásico: Obtención de información • Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local • GHDB • bloques asignados • Trashing miércoles 3 de octubre de 12
  26. 26. Ataque clásico: Escaneo / Enumeración • Análisis de zonas DNS • GHDB/BHDB • Identificación de sistema operativo: p0f • Escaneo de puertos para identificar servicios disponible: nmap • Revisión de seguridad web: w3af (sqli, directory transversal, ...) miércoles 3 de octubre de 12
  27. 27. Ataque clásico: Ganar acceso • Claves por defecto • Identificación de software vulnerable: nessus • Explotación de software vulnerable: metasploit • Ataque por fuerza bruta: medusa • Obtener fichero de claves cifradas y crackearlo: John The Ripper miércoles 3 de octubre de 12
  28. 28. Ataque clásico: Mantener acceso: rootkits • LKM para Linux (KBeast) • LD_PRELOAD Linux (Jynx Kit) • Connect back script Linux(darkBC) • Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat - descontinuado-) miércoles 3 de octubre de 12
  29. 29. Ataque clásico: Cubrir huellas • Limpieza de ficheros de logs • wtmp • wtmpx • utmp • utmpx • lastlog • ulw.c / szapper.c miércoles 3 de octubre de 12
  30. 30. APT: Advanced Persisten Threat • Adaptación del modus operandi de mass infection botnets • Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados. • Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso • Threat: Dirigido por organizaciones con muchos recursos económicos miércoles 3 de octubre de 12
  31. 31. APT: Aurora Operation • Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..) • Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6 • Instala Trojan.Hydraq (no es muy avanzado) miércoles 3 de octubre de 12
  32. 32. APT: Obtención de información • Análisis de la organización • empleados y organigrama • software instalado • Herramientas: • FOCA • Maltego • LinkedIn miércoles 3 de octubre de 12
  33. 33. APT: investigación de explotación • Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas. • Las aplicaciones más comunes son: • Adobe Acrobat Reader y Adobe Flash • Internet Explorer • Microsoft Word, Microsoft Excel • El payload consistirá en descargar un ejecutable para tomar control total miércoles 3 de octubre de 12
  34. 34. APT: Creación de malware • Puede hacerse a medida ó utilizarse builders para: • ZeuS • SpyEye • Limbo • Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirus miércoles 3 de octubre de 12
  35. 35. APT: Protocolo C&C • Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red • Suele ser un protocolo obfuscado para evitar ser detectado • Puede usar ssl • Puede estar camuflado • como tweets • como protocolo DNS miércoles 3 de octubre de 12
  36. 36. APT: Ingeniería social / Spear phishing • SET: Social Engineering Toolkit • DNS Spoofing • Phishing • SMS Spoofing • Mass mailer • Wireless AP Spoofing miércoles 3 de octubre de 12
  37. 37. APT SCADA • Supervisory Control And Data Acquisition • Procesos industriales (producción, fabricación..) • Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo • Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, .. miércoles 3 de octubre de 12
  38. 38. APT: SCADA STUXNET • Descubierto en Junio 2010 • Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772 • Atacaba infraestructuras críticas de centrales nucleares en Irán • El primer sistema en incluir un rootkit para PLC • Actualizable por P2P (aunque el servidor C&C no esté disponible) miércoles 3 de octubre de 12
  39. 39. APT: SCADA DUQU • Descubierto en Septiembre del 2010 • Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087 • Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán. • C&C Servers: Vietnan, Belgica, India y China miércoles 3 de octubre de 12
  40. 40. APT: ESPIONAJE FLAME • También conocido como sKyWIper • Descubierto en Mayo del 2012 • Usado para acciones de espionaje en Oriente Medio • Es probablemente el malware más complejo de la historia • Se propaga por la red o mediante dispositivos USB • Controla comunicaciones Skype, Bluetooth, ... • Es enorme, incluye un intérprete LUA miércoles 3 de octubre de 12
  41. 41. APT SCADA: Obtención de información • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red • Pais • Tipo de dispositivo • Fabricante • Protocolos que acepta • Se puede obtener información de los brouchures de los fabricantes miércoles 3 de octubre de 12
  42. 42. Respuesta ante ataques miércoles 3 de octubre de 12
  43. 43. Protección ante fuga de datos • Data Leakage Protection • Control de tráfico de red en diferentes protocolos • SMTP, FTP, .. • Análisis web: dropbox, gmail, facebook, pastebin, .. • Endpoint: análisis de tareas realizadas en el equipo de escritorio • Copiar ficheros confidenciales • Realizar capturas de pantalla de información sensible miércoles 3 de octubre de 12
  44. 44. Prevención de ataques clásicos • Preventivos / proactivos • Firewall • IPS • Post intrusión • Análisis forense miércoles 3 de octubre de 12
  45. 45. Prevención de APT • Preventivo • No es 100% eficaz • Análisis en tiempo real de ficheros PDF, Office, ... • Endpoint que monitoriza procesos vulnerables • Post Intrusión • Ejecución en una máquina virtual • Análisis forense de malware (inmunity, ida pro, virustotal, ..) miércoles 3 de octubre de 12
  46. 46. Preguntas miércoles 3 de octubre de 12

Robo de información en infraestructuras IT y SCADA

Vistos

Vistos totais

1.085

No Slideshare

0

De incorporações

0

Número de incorporações

106

Ações

Baixados

24

Compartilhados

0

Comentários

0

Curtir

0

×