Este documento describe varios temas relacionados con el robo de información, incluyendo clasificaciones de información, escenarios de robo, evolución de ataques como ataques avanzados persistentes (APT) y respuestas a ataques. Se discuten amenazas como malware, ingeniería social, y ataques dirigidos a sistemas SCADA e infraestructuras críticas.
1. Robo de información en
infraestructuras IT & SCADA
José Ramón Palanco
miércoles 3 de octubre de 12
2. Índice
1.El problema
2.Clasificación de la información
3.Escenario de robo/fuga de información
4.Evolución de los ataques
5.Respuesta ante ataques
6.Preguntas
miércoles 3 de octubre de 12
4. El problema
• Cada vez tratamos con más información
• Mayor volumen de tráfico a través de Internet
• Incremento de usuarios que acceden a los datos
miércoles 3 de octubre de 12
5. Conductas detectadas
• Uso de aplicaciones no autorizadas
• Uso indebido de dispositivos de trabajo
• Acceso no autorizado (físico y lógico)
• Seguridad en trabajadores remotos
• Uso indebido de claves
miércoles 3 de octubre de 12
10. Perdida de información
Robo de información
Extravío de dispositivos
29%
71%
miércoles 3 de octubre de 12
11. Ataques comunes
•Ataques malware
•Fallos de software
•Errores humanos
•Actos de espionaje e invasión
•Actos de sabotaje y vandalismo
miércoles 3 de octubre de 12
13. Términos
• Integridad: Es la garantía de que • Impacto: Es la medida en la que
los datos están protegidos de ser se materializa una amenaza
modificados de manera
accidental o deliberada
• Riesgo: Probabilidad de que se
produzca un impacto
• Disponibilidad: Es la capacidad determinado en un activo,
de permitir que la información dominio ó en toda la
esté accesible para ser obtenida organización
• Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una
información que es necesario amenaza de un activo debido a
para que la organización los defectos de un sistema
funcione correctamente
• Ataque: Evento que atenta sobre
• Amenaza: Evento que puede los sistemas que rodean un
desencadenar un incidente en la activo con el fin de
organización. Implica que se comprometerlos
vean afectados los activos de la
empresa (pérdidas ó daños). Es
el origen de un posible ataque
miércoles 3 de octubre de 12
14. Activo Amenaza
Frecuencia de
materialización
Impacto Vulnerabilidad
Riesgo
Decisión
Reduce Reduce
Servicio de salvaguarda
Implementación
Minimizadora Preventiva
Mecanismos de salvaguarda
Se incorpora a
miércoles 3 de octubre de 12
16. Tipos de información
• Restringida: Información de uso exclusivo de un grupo de personas de la
organización
• Altamente confidencial
• Confidencial
• Interna
• Pública
miércoles 3 de octubre de 12
19. Threats to data
• Insecurity of access to information derived from users unconsciously
miércoles 3 de octubre de 12
20. Threats to data
• Malicious users create insecurity in the management of corporate
information
miércoles 3 de octubre de 12
21. Threats to data
• Corporate information suffers an additional threat to the possibility of
external attacks by hackers or competitors
miércoles 3 de octubre de 12
24. Ataque clásico
• Buscan servidores corporativos
vulnerables expuestos en la
DMZ
• Una vez dentro de la DMZ se
repìte el proceso para saltar a
una base de datos o LDAP en
la red interna
• Una vez en la red interna se
analizan claves haciendo
sniffing de la red local para
robar datos de los diferentes
sistemas
miércoles 3 de octubre de 12
25. Ataque clásico: Obtención de información
• Se usan diferentes herramientas que permiten ayudar a descubrir máquinas
en la DMZ ó local
• GHDB
• bloques asignados
• Trashing
miércoles 3 de octubre de 12
26. Ataque clásico: Escaneo / Enumeración
• Análisis de zonas DNS
• GHDB/BHDB
• Identificación de sistema operativo: p0f
• Escaneo de puertos para identificar servicios disponible: nmap
• Revisión de seguridad web: w3af (sqli, directory transversal, ...)
miércoles 3 de octubre de 12
27. Ataque clásico: Ganar acceso
• Claves por defecto
• Identificación de software vulnerable: nessus
• Explotación de software vulnerable: metasploit
• Ataque por fuerza bruta: medusa
• Obtener fichero de claves cifradas y crackearlo: John The Ripper
miércoles 3 de octubre de 12
28. Ataque clásico: Mantener acceso: rootkits
• LKM para Linux (KBeast)
• LD_PRELOAD Linux (Jynx Kit)
• Connect back script Linux(darkBC)
• Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat -
descontinuado-)
miércoles 3 de octubre de 12
29. Ataque clásico: Cubrir huellas
• Limpieza de ficheros de logs
• wtmp
• wtmpx
• utmp
• utmpx
• lastlog
• ulw.c / szapper.c
miércoles 3 de octubre de 12
30. APT: Advanced Persisten Threat
• Adaptación del modus operandi
de mass infection botnets
• Advanced: pueden explotarse
fallos publicados ó no (zero day),
pero los atacantes tienen perfiles
altamente cualificados.
• Persistent: la tarea puede llevar a
cabo muchos meses hasta lograr
acceso
• Threat: Dirigido por
organizaciones con muchos
recursos económicos
miércoles 3 de octubre de 12
31. APT: Aurora Operation
• Ataque coordinado contra 30
compañías (Google, Adobe,
Juniper, ..)
• Explota una vulnerabilidad no
publicada: CVE-2010-0249 que
afectaba a IE6
• Instala Trojan.Hydraq (no es
muy avanzado)
miércoles 3 de octubre de 12
32. APT: Obtención de información
• Análisis de la organización
• empleados y organigrama
• software instalado
• Herramientas:
• FOCA
• Maltego
• LinkedIn
miércoles 3 de octubre de 12
33. APT: investigación de explotación
• Una vez conocido el software utilizado por una organización se procede a
buscar vulnerabilidades publicadas y a localizar vulnerabilidades
desconocidas.
• Las aplicaciones más comunes son:
• Adobe Acrobat Reader y Adobe Flash
• Internet Explorer
• Microsoft Word, Microsoft Excel
• El payload consistirá en descargar un ejecutable para tomar control total
miércoles 3 de octubre de 12
34. APT: Creación de malware
• Puede hacerse a medida ó utilizarse builders para:
• ZeuS
• SpyEye
• Limbo
• Después es común utilizar packers para ocultar posibles strings que puedan
ser utilizadas como firmas de antivirus
miércoles 3 de octubre de 12
35. APT: Protocolo C&C
• Es un protocolo que permite a los atacantes tomar control de la máquina
infectada y realizar tareas de gestión o incluso acceder a diferentes partes de
la red
• Suele ser un protocolo obfuscado para evitar ser detectado
• Puede usar ssl
• Puede estar camuflado
• como tweets
• como protocolo DNS
miércoles 3 de octubre de 12
36. APT: Ingeniería social / Spear phishing
• SET: Social Engineering Toolkit
• DNS Spoofing
• Phishing
• SMS Spoofing
• Mass mailer
• Wireless AP Spoofing
miércoles 3 de octubre de 12
37. APT SCADA
• Supervisory Control And Data
Acquisition
• Procesos industriales
(producción, fabricación..)
• Procesos de Infraestructura:
tratamiento de agua,
tuberías de gas, petroleo
• Procesos Facilities:
monitorización de consumo
de energía en centrales
hidroeléctricas, nucleares, ..
miércoles 3 de octubre de 12
38. APT: SCADA STUXNET
• Descubierto en Junio 2010
• Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS:
CVE-2010-2772
• Atacaba infraestructuras críticas de centrales nucleares en Irán
• El primer sistema en incluir un rootkit para PLC
• Actualizable por P2P (aunque el servidor C&C no esté disponible)
miércoles 3 de octubre de 12
39. APT: SCADA DUQU
• Descubierto en Septiembre del 2010
• Explotaba una vulnerabilidad zero day que afectó a Microsoft Word:
MS11-087
• Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de
Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán.
• C&C Servers: Vietnan, Belgica, India y China
miércoles 3 de octubre de 12
40. APT: ESPIONAJE FLAME
• También conocido como sKyWIper
• Descubierto en Mayo del 2012
• Usado para acciones de espionaje en Oriente Medio
• Es probablemente el malware más complejo de la historia
• Se propaga por la red o mediante dispositivos USB
• Controla comunicaciones Skype, Bluetooth, ...
• Es enorme, incluye un intérprete LUA
miércoles 3 de octubre de 12
41. APT SCADA: Obtención de información
• Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA
conectados a la red
• Pais
• Tipo de dispositivo
• Fabricante
• Protocolos que acepta
• Se puede obtener información de los brouchures de los fabricantes
miércoles 3 de octubre de 12
43. Protección ante fuga de datos
• Data Leakage Protection
• Control de tráfico de red en diferentes protocolos
• SMTP, FTP, ..
• Análisis web: dropbox, gmail, facebook, pastebin, ..
• Endpoint: análisis de tareas realizadas en el equipo de escritorio
• Copiar ficheros confidenciales
• Realizar capturas de pantalla de información sensible
miércoles 3 de octubre de 12
44. Prevención de ataques clásicos
• Preventivos / proactivos
• Firewall
• IPS
• Post intrusión
• Análisis forense
miércoles 3 de octubre de 12
45. Prevención de APT
• Preventivo
• No es 100% eficaz
• Análisis en tiempo real de ficheros PDF, Office, ...
• Endpoint que monitoriza procesos vulnerables
• Post Intrusión
• Ejecución en una máquina virtual
• Análisis forense de malware (inmunity, ida pro, virustotal, ..)
miércoles 3 de octubre de 12