SlideShare uma empresa Scribd logo

Robo de información

Jose Palanco
Jose Palanco

Este documento describe varios temas relacionados con el robo de información, incluyendo clasificaciones de información, escenarios de robo, evolución de ataques como ataques avanzados persistentes (APT) y respuestas a ataques. Se discuten amenazas como malware, ingeniería social, y ataques dirigidos a sistemas SCADA e infraestructuras críticas.

Tecnologia
1 de 46
Baixar para ler offline
Robo de información en infraestructuras IT & SCADA José Ramón Palanco miércoles 3 de octubre de 12
Índice 1.El problema 2.Clasificación de la información 3.Escenario de robo/fuga de información 4.Evolución de los ataques 5.Respuesta ante ataques 6.Preguntas miércoles 3 de octubre de 12
El problema miércoles 3 de octubre de 12
El problema • Cada vez tratamos con más información • Mayor volumen de tráfico a través de Internet • Incremento de usuarios que acceden a los datos miércoles 3 de octubre de 12
Conductas detectadas • Uso de aplicaciones no autorizadas • Uso indebido de dispositivos de trabajo • Acceso no autorizado (físico y lógico) • Seguridad en trabajadores remotos • Uso indebido de claves miércoles 3 de octubre de 12
Origen del robo Fuente: INEGI miércoles 3 de octubre de 12
Origen del robo Europa / USA Interno Externo 24% 76% Fuente: INEGI miércoles 3 de octubre de 12
Origen del robo Europa / USA México Interno Externo Interno Externo 24% 33% 67% 76% Fuente: INEGI miércoles 3 de octubre de 12
Perdida de información miércoles 3 de octubre de 12
Perdida de información Robo de información Extravío de dispositivos 29% 71% miércoles 3 de octubre de 12
Ataques comunes •Ataques malware •Fallos de software •Errores humanos •Actos de espionaje e invasión •Actos de sabotaje y vandalismo miércoles 3 de octubre de 12
Presupuesto en seguridad 100 12 11 22 18 75 23 24 24 1% - 1-2% 50 6 26 3-5% 11 8 6-7% 6 8-10% 10 11 10% + 25 11 Desconocido 13 12 7 14 15 16 0 Fuente: CSI Survey 2006 2007 2008 miércoles 3 de octubre de 12
Términos • Integridad: Es la garantía de que • Impacto: Es la medida en la que los datos están protegidos de ser se materializa una amenaza modificados de manera accidental o deliberada • Riesgo: Probabilidad de que se produzca un impacto • Disponibilidad: Es la capacidad determinado en un activo, de permitir que la información dominio ó en toda la esté accesible para ser obtenida organización • Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una información que es necesario amenaza de un activo debido a para que la organización los defectos de un sistema funcione correctamente • Ataque: Evento que atenta sobre • Amenaza: Evento que puede los sistemas que rodean un desencadenar un incidente en la activo con el fin de organización. Implica que se comprometerlos vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataque miércoles 3 de octubre de 12
Activo Amenaza Frecuencia de materialización Impacto Vulnerabilidad Riesgo Decisión Reduce Reduce Servicio de salvaguarda Implementación Minimizadora Preventiva Mecanismos de salvaguarda Se incorpora a miércoles 3 de octubre de 12
Clasificación de la información miércoles 3 de octubre de 12
Tipos de información • Restringida: Información de uso exclusivo de un grupo de personas de la organización • Altamente confidencial • Confidencial • Interna • Pública miércoles 3 de octubre de 12
Escenarios de robo/fuga de información miércoles 3 de octubre de 12
Corporate Network scheme miércoles 3 de octubre de 12
Threats to data • Insecurity of access to information derived from users unconsciously miércoles 3 de octubre de 12
Threats to data • Malicious users create insecurity in the management of corporate information miércoles 3 de octubre de 12
Threats to data • Corporate information suffers an additional threat to the possibility of external attacks by hackers or competitors miércoles 3 de octubre de 12
New concerns miércoles 3 de octubre de 12
Evolución de los ataques miércoles 3 de octubre de 12
Ataque clásico • Buscan servidores corporativos vulnerables expuestos en la DMZ • Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna • Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemas miércoles 3 de octubre de 12
Ataque clásico: Obtención de información • Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local • GHDB • bloques asignados • Trashing miércoles 3 de octubre de 12
Ataque clásico: Escaneo / Enumeración • Análisis de zonas DNS • GHDB/BHDB • Identificación de sistema operativo: p0f • Escaneo de puertos para identificar servicios disponible: nmap • Revisión de seguridad web: w3af (sqli, directory transversal, ...) miércoles 3 de octubre de 12
Ataque clásico: Ganar acceso • Claves por defecto • Identificación de software vulnerable: nessus • Explotación de software vulnerable: metasploit • Ataque por fuerza bruta: medusa • Obtener fichero de claves cifradas y crackearlo: John The Ripper miércoles 3 de octubre de 12
Ataque clásico: Mantener acceso: rootkits • LKM para Linux (KBeast) • LD_PRELOAD Linux (Jynx Kit) • Connect back script Linux(darkBC) • Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat - descontinuado-) miércoles 3 de octubre de 12
Ataque clásico: Cubrir huellas • Limpieza de ficheros de logs • wtmp • wtmpx • utmp • utmpx • lastlog • ulw.c / szapper.c miércoles 3 de octubre de 12
APT: Advanced Persisten Threat • Adaptación del modus operandi de mass infection botnets • Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados. • Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso • Threat: Dirigido por organizaciones con muchos recursos económicos miércoles 3 de octubre de 12
APT: Aurora Operation • Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..) • Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6 • Instala Trojan.Hydraq (no es muy avanzado) miércoles 3 de octubre de 12
APT: Obtención de información • Análisis de la organización • empleados y organigrama • software instalado • Herramientas: • FOCA • Maltego • LinkedIn miércoles 3 de octubre de 12
APT: investigación de explotación • Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas. • Las aplicaciones más comunes son: • Adobe Acrobat Reader y Adobe Flash • Internet Explorer • Microsoft Word, Microsoft Excel • El payload consistirá en descargar un ejecutable para tomar control total miércoles 3 de octubre de 12
APT: Creación de malware • Puede hacerse a medida ó utilizarse builders para: • ZeuS • SpyEye • Limbo • Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirus miércoles 3 de octubre de 12
APT: Protocolo C&C • Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red • Suele ser un protocolo obfuscado para evitar ser detectado • Puede usar ssl • Puede estar camuflado • como tweets • como protocolo DNS miércoles 3 de octubre de 12
APT: Ingeniería social / Spear phishing • SET: Social Engineering Toolkit • DNS Spoofing • Phishing • SMS Spoofing • Mass mailer • Wireless AP Spoofing miércoles 3 de octubre de 12
APT SCADA • Supervisory Control And Data Acquisition • Procesos industriales (producción, fabricación..) • Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo • Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, .. miércoles 3 de octubre de 12
APT: SCADA STUXNET • Descubierto en Junio 2010 • Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772 • Atacaba infraestructuras críticas de centrales nucleares en Irán • El primer sistema en incluir un rootkit para PLC • Actualizable por P2P (aunque el servidor C&C no esté disponible) miércoles 3 de octubre de 12
APT: SCADA DUQU • Descubierto en Septiembre del 2010 • Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087 • Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán. • C&C Servers: Vietnan, Belgica, India y China miércoles 3 de octubre de 12
APT: ESPIONAJE FLAME • También conocido como sKyWIper • Descubierto en Mayo del 2012 • Usado para acciones de espionaje en Oriente Medio • Es probablemente el malware más complejo de la historia • Se propaga por la red o mediante dispositivos USB • Controla comunicaciones Skype, Bluetooth, ... • Es enorme, incluye un intérprete LUA miércoles 3 de octubre de 12
APT SCADA: Obtención de información • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red • Pais • Tipo de dispositivo • Fabricante • Protocolos que acepta • Se puede obtener información de los brouchures de los fabricantes miércoles 3 de octubre de 12
Respuesta ante ataques miércoles 3 de octubre de 12
Protección ante fuga de datos • Data Leakage Protection • Control de tráfico de red en diferentes protocolos • SMTP, FTP, .. • Análisis web: dropbox, gmail, facebook, pastebin, .. • Endpoint: análisis de tareas realizadas en el equipo de escritorio • Copiar ficheros confidenciales • Realizar capturas de pantalla de información sensible miércoles 3 de octubre de 12
Prevención de ataques clásicos • Preventivos / proactivos • Firewall • IPS • Post intrusión • Análisis forense miércoles 3 de octubre de 12
Prevención de APT • Preventivo • No es 100% eficaz • Análisis en tiempo real de ficheros PDF, Office, ... • Endpoint que monitoriza procesos vulnerables • Post Intrusión • Ejecución en una máquina virtual • Análisis forense de malware (inmunity, ida pro, virustotal, ..) miércoles 3 de octubre de 12
Preguntas miércoles 3 de octubre de 12

Recomendados

Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014
Jose Flores
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
Emanuelcru
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
dgoss
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
Haruckar
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
eltigretigre
 

Recomendados

Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014
Jose Flores
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
Emanuelcru
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
dgoss
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
Haruckar
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
eltigretigre
 
Seguridad
SeguridadSeguridad
Seguridad
Victor Medina Gomez
 
Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011
Julio C. Hidalgo
 
Cbasica
CbasicaCbasica
Cbasica
zoseketsa
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Mini0986
 
5to
5to5to
5to
natylindis
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
Jhanz Sanchez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Abel Caín Rodríguez Rodríguez
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informática
Yolanda Corral
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
carlos910042
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
Carlos Viteri
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Clase 14.pdf
Clase 14.pdfClase 14.pdf
Clase 14.pdf
DulcixDazLemus
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Iestp Instituto Superior
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Jack Daniel Cáceres Meza
 
Magerit
MageritMagerit
Magerit
Gabriel Del Castillo
 
Seguridad informatica EAE
Seguridad informatica EAESeguridad informatica EAE
Seguridad informatica EAE
carlitoszamora
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Alexader
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
mauricio27121996
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
mauricio27121996
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
mauricio27121996
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
mauricio27121996
 

Mais conteúdo relacionado

Mais procurados

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Mini0986
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
Jhanz Sanchez
 

Mais procurados (9)

Seguridad
SeguridadSeguridad
Seguridad
 
Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011
 
Cbasica
CbasicaCbasica
Cbasica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
5to
5to5to
5to
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informática
 

Semelhante a Robo de información

Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Alexader
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
Oscar Huanca
 

Semelhante a Robo de información (20)

Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Clase 14.pdf
Clase 14.pdfClase 14.pdf
Clase 14.pdf
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Magerit
MageritMagerit
Magerit
 
Seguridad informatica EAE
Seguridad informatica EAESeguridad informatica EAE
Seguridad informatica EAE
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
WEBQUEST: Seguridad de la Información. :3
WEBQUEST: Seguridad de la Información. :3WEBQUEST: Seguridad de la Información. :3
WEBQUEST: Seguridad de la Información. :3
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 

Último (15)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

Robo de información

  • 1. Robo de información en infraestructuras IT & SCADA José Ramón Palanco miércoles 3 de octubre de 12
  • 2. Índice 1.El problema 2.Clasificación de la información 3.Escenario de robo/fuga de información 4.Evolución de los ataques 5.Respuesta ante ataques 6.Preguntas miércoles 3 de octubre de 12
  • 3. El problema miércoles 3 de octubre de 12
  • 4. El problema • Cada vez tratamos con más información • Mayor volumen de tráfico a través de Internet • Incremento de usuarios que acceden a los datos miércoles 3 de octubre de 12
  • 5. Conductas detectadas • Uso de aplicaciones no autorizadas • Uso indebido de dispositivos de trabajo • Acceso no autorizado (físico y lógico) • Seguridad en trabajadores remotos • Uso indebido de claves miércoles 3 de octubre de 12
  • 6. Origen del robo Fuente: INEGI miércoles 3 de octubre de 12
  • 7. Origen del robo Europa / USA Interno Externo 24% 76% Fuente: INEGI miércoles 3 de octubre de 12
  • 8. Origen del robo Europa / USA México Interno Externo Interno Externo 24% 33% 67% 76% Fuente: INEGI miércoles 3 de octubre de 12
  • 10. Perdida de información Robo de información Extravío de dispositivos 29% 71% miércoles 3 de octubre de 12
  • 11. Ataques comunes •Ataques malware •Fallos de software •Errores humanos •Actos de espionaje e invasión •Actos de sabotaje y vandalismo miércoles 3 de octubre de 12
  • 12. Presupuesto en seguridad 100 12 11 22 18 75 23 24 24 1% - 1-2% 50 6 26 3-5% 11 8 6-7% 6 8-10% 10 11 10% + 25 11 Desconocido 13 12 7 14 15 16 0 Fuente: CSI Survey 2006 2007 2008 miércoles 3 de octubre de 12
  • 13. Términos • Integridad: Es la garantía de que • Impacto: Es la medida en la que los datos están protegidos de ser se materializa una amenaza modificados de manera accidental o deliberada • Riesgo: Probabilidad de que se produzca un impacto • Disponibilidad: Es la capacidad determinado en un activo, de permitir que la información dominio ó en toda la esté accesible para ser obtenida organización • Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una información que es necesario amenaza de un activo debido a para que la organización los defectos de un sistema funcione correctamente • Ataque: Evento que atenta sobre • Amenaza: Evento que puede los sistemas que rodean un desencadenar un incidente en la activo con el fin de organización. Implica que se comprometerlos vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataque miércoles 3 de octubre de 12
  • 14. Activo Amenaza Frecuencia de materialización Impacto Vulnerabilidad Riesgo Decisión Reduce Reduce Servicio de salvaguarda Implementación Minimizadora Preventiva Mecanismos de salvaguarda Se incorpora a miércoles 3 de octubre de 12
  • 15. Clasificación de la información miércoles 3 de octubre de 12
  • 16. Tipos de información • Restringida: Información de uso exclusivo de un grupo de personas de la organización • Altamente confidencial • Confidencial • Interna • Pública miércoles 3 de octubre de 12
  • 17. Escenarios de robo/fuga de información miércoles 3 de octubre de 12
  • 19. Threats to data • Insecurity of access to information derived from users unconsciously miércoles 3 de octubre de 12
  • 20. Threats to data • Malicious users create insecurity in the management of corporate information miércoles 3 de octubre de 12
  • 21. Threats to data • Corporate information suffers an additional threat to the possibility of external attacks by hackers or competitors miércoles 3 de octubre de 12
  • 22. New concerns miércoles 3 de octubre de 12
  • 23. Evolución de los ataques miércoles 3 de octubre de 12
  • 24. Ataque clásico • Buscan servidores corporativos vulnerables expuestos en la DMZ • Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna • Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemas miércoles 3 de octubre de 12
  • 25. Ataque clásico: Obtención de información • Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local • GHDB • bloques asignados • Trashing miércoles 3 de octubre de 12
  • 26. Ataque clásico: Escaneo / Enumeración • Análisis de zonas DNS • GHDB/BHDB • Identificación de sistema operativo: p0f • Escaneo de puertos para identificar servicios disponible: nmap • Revisión de seguridad web: w3af (sqli, directory transversal, ...) miércoles 3 de octubre de 12
  • 27. Ataque clásico: Ganar acceso • Claves por defecto • Identificación de software vulnerable: nessus • Explotación de software vulnerable: metasploit • Ataque por fuerza bruta: medusa • Obtener fichero de claves cifradas y crackearlo: John The Ripper miércoles 3 de octubre de 12
  • 28. Ataque clásico: Mantener acceso: rootkits • LKM para Linux (KBeast) • LD_PRELOAD Linux (Jynx Kit) • Connect back script Linux(darkBC) • Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat - descontinuado-) miércoles 3 de octubre de 12
  • 29. Ataque clásico: Cubrir huellas • Limpieza de ficheros de logs • wtmp • wtmpx • utmp • utmpx • lastlog • ulw.c / szapper.c miércoles 3 de octubre de 12
  • 30. APT: Advanced Persisten Threat • Adaptación del modus operandi de mass infection botnets • Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados. • Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso • Threat: Dirigido por organizaciones con muchos recursos económicos miércoles 3 de octubre de 12
  • 31. APT: Aurora Operation • Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..) • Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6 • Instala Trojan.Hydraq (no es muy avanzado) miércoles 3 de octubre de 12
  • 32. APT: Obtención de información • Análisis de la organización • empleados y organigrama • software instalado • Herramientas: • FOCA • Maltego • LinkedIn miércoles 3 de octubre de 12
  • 33. APT: investigación de explotación • Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas. • Las aplicaciones más comunes son: • Adobe Acrobat Reader y Adobe Flash • Internet Explorer • Microsoft Word, Microsoft Excel • El payload consistirá en descargar un ejecutable para tomar control total miércoles 3 de octubre de 12
  • 34. APT: Creación de malware • Puede hacerse a medida ó utilizarse builders para: • ZeuS • SpyEye • Limbo • Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirus miércoles 3 de octubre de 12
  • 35. APT: Protocolo C&C • Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red • Suele ser un protocolo obfuscado para evitar ser detectado • Puede usar ssl • Puede estar camuflado • como tweets • como protocolo DNS miércoles 3 de octubre de 12
  • 36. APT: Ingeniería social / Spear phishing • SET: Social Engineering Toolkit • DNS Spoofing • Phishing • SMS Spoofing • Mass mailer • Wireless AP Spoofing miércoles 3 de octubre de 12
  • 37. APT SCADA • Supervisory Control And Data Acquisition • Procesos industriales (producción, fabricación..) • Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo • Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, .. miércoles 3 de octubre de 12
  • 38. APT: SCADA STUXNET • Descubierto en Junio 2010 • Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772 • Atacaba infraestructuras críticas de centrales nucleares en Irán • El primer sistema en incluir un rootkit para PLC • Actualizable por P2P (aunque el servidor C&C no esté disponible) miércoles 3 de octubre de 12
  • 39. APT: SCADA DUQU • Descubierto en Septiembre del 2010 • Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087 • Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán. • C&C Servers: Vietnan, Belgica, India y China miércoles 3 de octubre de 12
  • 40. APT: ESPIONAJE FLAME • También conocido como sKyWIper • Descubierto en Mayo del 2012 • Usado para acciones de espionaje en Oriente Medio • Es probablemente el malware más complejo de la historia • Se propaga por la red o mediante dispositivos USB • Controla comunicaciones Skype, Bluetooth, ... • Es enorme, incluye un intérprete LUA miércoles 3 de octubre de 12
  • 41. APT SCADA: Obtención de información • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red • Pais • Tipo de dispositivo • Fabricante • Protocolos que acepta • Se puede obtener información de los brouchures de los fabricantes miércoles 3 de octubre de 12
  • 42. Respuesta ante ataques miércoles 3 de octubre de 12
  • 43. Protección ante fuga de datos • Data Leakage Protection • Control de tráfico de red en diferentes protocolos • SMTP, FTP, .. • Análisis web: dropbox, gmail, facebook, pastebin, .. • Endpoint: análisis de tareas realizadas en el equipo de escritorio • Copiar ficheros confidenciales • Realizar capturas de pantalla de información sensible miércoles 3 de octubre de 12
  • 44. Prevención de ataques clásicos • Preventivos / proactivos • Firewall • IPS • Post intrusión • Análisis forense miércoles 3 de octubre de 12
  • 45. Prevención de APT • Preventivo • No es 100% eficaz • Análisis en tiempo real de ficheros PDF, Office, ... • Endpoint que monitoriza procesos vulnerables • Post Intrusión • Ejecución en una máquina virtual • Análisis forense de malware (inmunity, ida pro, virustotal, ..) miércoles 3 de octubre de 12
  • 46. Preguntas miércoles 3 de octubre de 12