Security On Site I
Chema Alonso
MVP Windows Server Security
Informática 64
[email protected]
Agenda
Principios de Seguridad
Ataques a Sistemas
Actualizaciones de Seguridad
Seguridad en Servidores
Seguridad en Clientes
Principios de Seguridad
Seguridad
La seguridad depende de 3 factores:
Procesos:
Procedimientos y operaciones en nuestros
entornos
Personas
Poca formación
Tecnología:
Estándares (TCP/IP)
Productos de los fabricantes (IIS,Apache)
Desarrollos personales
¿Porque Atacan?
Motivos Personales
Hacer Daño
Alterar, dañar or borrar
información
Denegar servicio
Dañar la imagen pública
Desquitarse
Fundamentos políticos o
terrorismo
Gastar una broma
Lucirse y presumir
Motivos Financieros
Robar información
Chantaje
Fraudes Financieros
Impacto de los Ataques
Pérdida de
Beneficios
Daños en la
reputación
Deterioro de la
confianza de los
inversores
Daños en la
confianza de los
clientes
Datos
comprometidos
Consecuencias
legales
(LOPD/LSSI)
Interrupción de
los procesos de
Negocio
Bug
Un error de software o computer bug, que
significa bicho de computadora, es el resultado
de una falla de programación introducida en el
proceso de creación de programas de
computadora. El término bug fue acreditado
erróneamente a Grace Murray Hopper, una
pionera en la historia de la computación, pero
Thomas Edison ya lo empleaba en sus trabajos
para describir defectos en sistemas mecánicos
por el año 1870.
Fuente: Wikipedia en Español
Exploit
Exploit (viene de to exploit - aprovechar) - código
escrito con el fin de aprovechar un error de
programación para obtener diversos privilegios.
software.
Un buen número de exploits tienen su origen en un
conjunto de fallos similares. Algunos de los grupos de
vulnerabilidades más conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow.
Vulnerabilidades de condición de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string bugs).
Vulnerabilidades de Cross Site Scripting (XSS).
Vulnerabilidades de inyección SQL (SQL injection).
Vulnerabilidades de inyeccion de caraceres (CRLF).
Fuente: Wikipedia en Español
Payload
In computer virus jargon, the payload of a
virus or worm is any action it is
programmed to take other than merely
spreading itself. The term is used for all
intended functions, whether they actually
work or not.
Fuente: Wikipedia
Software Seguro
El software Fiable es aquel que hace lo que se
supone que debe hacer.
El software Seguro es aquel que hace lo que se
supone que debe hacer, y nada mas.
Son los sorprendentes “algo mas” los que producen
inseguridad.
Para estar seguro, debes de ejecutar solo
software perfecto :-)
O, hacer algo para mitigar ese “algo mas”
Código y poder
El código fuente es poder
Tanto para defenderse como para atacar
Compartir el código es compartir el poder.
Con los atacantes y defensores
Publicar el código fuente sin hacer nada
más degrada la seguridad
Por el contrario, publicar el código fuente
permite a los defensores y a otros elevar
la seguridad al nivel que les convenga.
Proceso explotación
Vulnerabilidad
1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
Número de dias transcurridos entre la publicación del update de seguridad y el
impacto del virus
502
Win32
Linux/Unix
336
336
208
185
58
53
31
11
Nombre
del Virus
Slammer
BugBear
Slapper
Ramen
Klez
Lion
Scalper
Nimda
CodeRed
27
Blaster
Vulnerabilidades
http://www.securityfocus.com/bid
Sofisticación de los Ataques vs.
Conocimientos requeridos
Ataques a Sistemas
Ataque:
Envenenamiento ARP
Técnicas de Spoofing
Las técnicas spoofing tienen como
objetivo suplantar validadores
estáticos
Un validador estático es un medio de
autenticación que permanece invariable
antes, durante y después de la
concesión.
Niveles Afectados
SERVICIO
Nombres de dominio
Direcciones de correo electrónico
Nombres de recursos compartidos
RED
Dirección IP
ENLACE
Dirección MAC
Tipos de técnicas de Spoofing
Spoofing ARP
•
Envenenamiento de conexiones.
•
Man in the Middle.
Spoofing IP
•
Rip Spoofing.
•
Hijacking.
Spoofing SMTP
Spoofing DNS
•
WebSpoofing.
Ataque ARP Man In The Middle
1.1.1.1
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.2
Protección contra Envenenamiento
Medidas preventivas.
•
Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicación:
•
•
•
S/MIME.
SSL.
Certificado de comunicaciones.
Protección contra Envenenamiento
Medidas reactivas.
Utilización de detectores de Sniffers.
•
Utilizan test de funcionamiento anómalo.
Test ICMP.
Test DNS.
Test ARP.
Sistemas de Detección de Intrusos
Frase vs. Passwords
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●●● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●●●●●● ●●● ●●●● ●●●●●●●● ●●●●●●● ●●●●●●●● ●●● ●●●● ●●●●●●●● ●●●
Ataque:
SQL – Injection
Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada.
Datos de usuario.
Formularios
Text
Password
Textarea
List
multilist
Datos de llamadas a procedimientos.
Links
Funciones Scripts
Actions
Datos de usuario utilizados en consultas a base de datos.
Mala construcción de consultas a bases de datos.
Riesgos
Permiten al atacante:
Saltar restricciones de acceso.
Elevación de privilegios.
Extracción de información de la Base de
Datos
Parada de SGBDR.
Ejecución de comandos en contexto
usuario bd dentro del servidor.
Tipos de Ataques
Ejemplo 1:
Autenticación de usuario contra base de
datos.
Usuario
Clave
****************
Select idusuario from tabla_usuarios
Where nombre_usuario=‘$usuario’
And clave=‘$clave’;
Tipos de Ataques
Ejemplo 1 (cont)
Usuario
Administrador
Clave
‘ or ‘1’=‘1
Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’
And clave=‘’ or ‘1’=‘1’;
Tipos de Ataques
Ejemplo 2:
Acceso a información con procedimientos
de listado.
http://www.miweb.com/prog.asp?parametro1=hola
Ó
http://www.miweb.com/prog.asp?parametro1=1
Tipos de Ataques
Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1=‘ union select
nombre, clave,1,1,1 from tabla_usuarios; otra instrucción;
xp_cmdshell(“del c:\boot.ini”); shutdown -Ó
http://www.miweb.com/prog.asp?parametro1=-1 union select .....;
otra instrucción; --
Contramedidas
No confianza en medias de protección en cliente.
Comprobación de datos de entrada.
Construcción segura de sentencias SQL.
Fortificación de Servidor Web.
Códigos de error.
Restricción de verbos, longitudes, etc..
Filtrado de contenido HTTP en Firewall.
Fortificación de SGBD.
Restricción de privilegios de motor/usuario de acceso desde web.
Aislamiento de bases de datos.
Ataque:
Cross-Site Scripting (XSS)
Explotación del Ataque
Datos almacenados en servidor desde
cliente.
Datos van a ser visualizados por otros
cliente/usuario.
Datos no filtrados. No comprobación de
que sean dañinos al cliente que visualiza.
Riesgos
Ejecución de código en contexto de
usuario que visualiza datos.
Navegación dirigida
Webspoofing
Spyware
Robo de credenciales
Ejecución de acciones automáticas
Defacement
Tipos de Ataques
Mensajes en Foros.
Firma de libro de visitas.
Contactos a través de web.
Correo Web.
En todos ellos se envían códigos Script
dañinos.
Contramedidas
Fortificación de aplicación
Comprobación fiable de datos
Fortificación de Clientes
Ejecución de clientes en entorno menos
privilegiado.
Fortificación de navegador cliente.
MBSA.
Políticas.
Ataque:
Troyanos
“Hay un amigo en mi”
Definición
Programa que se ejecuta sobre nuestra
máquina y cuyo control no depende de
nosotros.
Los Hackers lo llaman “Boyfriend”.
Mil formas, mil colores, mil objetivos.
Obtención de Privilegios
El programa corre sobre nuestra
máquina.
Corre con una identificación de usuario
del sistema.
Debe obtener privilegios para poder
ejecutarse.
¿Cómo los obtiene?
Obtención de Privilegios
Fallo en la cadena:
Procesos:
Sistema no cerrado.
Tecnología:
Fallo en sw de sistema operativo
Fallo en sw ejecución de códigos.
Personas:
Ingeniería Social: “¡Que lindo programita!”
Navegación privilegiada
Objetivos
Control remoto:
Instalan “suites” de gestión del sistema.
Robo de información
Modificación del sistema:
Phishing
Creación de usuarios
Planificación de tareas
....
Instalación del Troyano
Se suele acompañar de “un caballo” para
tranquilizar a la víctima.
Se añaden a otro software.
EJ: Whackamole
Joiners, Binders
Incluidos en documentos que ejecutan
código:
Word, excel, swf, .class, pdf, html, etc...
Instalación del Troyano
Simulando ser otro programa
P2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll
Instaladores de otro SW
Troyanos “Comerciales”
Su difusión es extrema.
Se han hecho famosos debido a su
extensión.
Suelen ser utilizados por principiantes
Casi todos los sistemas Anti-Malware son
capaces de detectarlos.
Aún así siguen siendo útiles porque
mutan.
Algunos
Back Orifice
NetBus
NetDevil
SubSeven
Ptakks
......
Detección de Troyanos
Anti-Mallware
Antivirus
AntiSpyware
Comportamiento anómalo del sistema
Configuraciones nuevas
Cambio en páginas de navegación
Puertos
....
Prevención contra Troyanos
Defensa en Profundidad
Mínimo Privilegio Posible
Mínimo punto de exposición
Gestión de updates de seguridad
Antivirus/AntiSpyware
Ejecución controlada de programas
Navegación segura
Ataque:
RootKits
“Los Otros”
Definición
Software malintencionado que tiene total
control de la maquina infectada y es
TOTALMENTE INVISIBLE, tanto para
para los usuarios de la maquina como
para todo el software que se ejecuta en
ella.
¿Que es un RootKit?
Originalmente – Fichero Troyano con una puerta trasera
Cambia ficheros, ejmp., netstat.exe
Pueden ser detectados con herramientas tipo “Tripwire”
Hoy en día – La mayoría de los “RootKits” tienen
componentes en modo Kernel
Trastornan el TCB “Trusted Computer Based”
Ocultan cosas
Otras capacidades
Difíciles de detectar y eliminar
Premisa: El atacante lo puede instalar de manera
directa o indirecta.
Breve Historia.
A principios de los años 90s, los “RootKits”
aparecen por primera vez en el mundo Unix
Al final de los 90s, Greg Hoglund y su equipo
los introducen por primera vez en los entornos
Windows. http://www.rootkit.com
La creación y la detección de los RootKits
continua evolucionando
Modo Usuario -> Modo Kernel -> flash RAM
Nuevas técnicas en cada nivel
¿Que puede hacer?
Esconder:
A si mismo + algo que el intruso quiera.
Procesos
Ficheros y su contenido
Claves y valores del registro
Drivers en modo “Kernel”
Puertos
Sniffing – Trafico de Red, Log de pulsaciones de
teclado
Elevación de Privilegios - Modificación de los testigos
de acceso (access token)
Cualquier cosa que un driver o el Sistema Operativo
pueda hacer…
Interceptación de APIs a
nivel de Usuario
Aplicación
(Ejem., taskmgr, tlist)
PSAPI.DLL
EnumProcesses
MODO-USUARIO
NTDLL.DLL
NtQuerySystemInformation
MODO-KERNEL
NTOSKRNL.EXE
Código Malicioso
“RootKit”
Interceptación de APIs a
nivel del Núcleo “KERNEL”
Aplicación
(Ejem., taskmgr, tlist)
PSAPI.DLL
EnumProcesses
MODO-USUARIO
NTDLL.DLL
NtQuerySystemInformation
MODO-KERNEL
NTOSKRNL.EXE
Código Malicioso
“RootKit”
Hacker Defender
Es el RootKit mas extendido en los sistemas
Windows.
Ficha:
Autores:
Holy_Father [email protected]
Ratter/29A [email protected]
Version: 1.0.0
Home Page: http://rootkit.host.sk,
http://hxdef.czweb.org
Programación: Delphi
SO: NT, 2000, XP
Objetivo
Reescribir algunos segmentos de memoria en todos los
procesos que se ejecuten en una máquina para:
Esconderse a si mismo y esconder:
Ficheros
Procesos
Servicios de sistema
Drivers de sistema
Claves y valores del registro
Puertos abiertos
Engañar con el espacio libre en disco.
Enmascarar los cambios que realiza en memoria.
Instalar una puerta trasera con tecnología de “redirector”
Soporta Procesos “Root”
Configuración I
Se configura mediante un fichero INI que tiene
los siguientes campos:
[Hidden Table]: Listado de directorios ficheros y
procesos que deben ser ocultados
[Root Processes]: Procesos que no serán
infectados por el RootKit.
[Hidden Services]: Servicios que no se listarán
[Hidden RegKeys]: Claves del registro ocultas
[Hidden RegValues]: Valores del registro ocultos.
Configuración II
[Startup Run]: Ejecutables que se ejecutan cada
vez que se inicia el RootKit.
[Free Space]: Espacio que se añade a cada
disco duro.
[Hidden Ports]: Puertos abiertos que han de ser
ocultados de aplicaciones tipo OpPorts, FPort,
Active Ports, Tcp View etc…
[Settings]: 8 valores para configurar diferentes
cosas.
Detección
Lo mejor es no tener que detectarlos, pues no es
tarea fácil. Para ello hay que evitar que entren en
nuestra máquina:
Actualizar los parches del sistema
Utilizar antivirus
Utilizar firewalls
Utilizar Sistemas Operativos modernos
Si entran y somos capaces de detectarlos, la
única solución fiable es formatear.
Detección
Lo mas fácil es detectarlo antes de que se instale. (Antivirus,
antispyware, etc…)
Si ya esta instalado se puede detectar de tres maneras:
Casualidad.
Cuelgues de la máquina
Software AntiRootKit
Tripwire.
http://www.tripwire.com/products/technology/index.cfm
RootkitRevealer de Sysinternals
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
Blacklight de F-Secure
http://www.f-secure.com/blacklight/try.shtml
Las principales estrategias para poder detectarlos son:
Detectar la presencia del propio RootKit.
Detectar los recursos que esconden. Hacer de su virtud, su principal
debilidad.
Técnicas de Detección
En Modo - Usuario:
Puenteando las intercepciones a las llamadas de la API
(escribiendo tus propias API)
Detectarlos en modo “Kernel”
En modo – Kernel
Examinar directamente la estructura de datos en modo
Kernel sin hacer llamadas a las APIs
Verificación de “KiServiceTable”
Verificación de las firmas de las funciones que están en
memoria.
Ambos se pueden detectar.
Herramientas de Debugging:
http://www.microsoft.com/whdc/devtools/debugging/
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
Futuro - Presente
Rootkits de BIOS programados con ACPI
presentados en BlackHat Conference
Enero 2006
Rootkits de BBDD presentados en
Microsoft BlueHat Conference 2006
Rootkits VM presentados por Microsoft
Research y Universidad Michigan Marzo
2006.
Actualizaciones de
Seguridad
Terminología y Consideraciones
acerca de las actualizaciones de
Seguridad
Timpacto
Triesgo
Herramientas de
Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0.
Zero Day Server es aquel que tiene todo el
software que corre en su sistema actualizado y no
tiene ningún bug conocido.
Es el máximo nivel de seguridad que se puede
alcanzar con el software que corre en un sistema.
Existen Zero Day Exploits
Auditorias de seguridad
No son las únicas que deben hacerse
Se deben realizar de forma automática y de forma
manual [“artesana”].
Con la visión de un atacante y con la visión del
administrador.
Auditoría Caja Negra
Se realiza desde fuera
Ofrece la visión de un hacker
No puede ser ejecutada desde dentro 
Falsos positivos
No garantiza “Servidor Seguro”
No todos los escáner ofrecen los mismos
resultados.
SSS, Nessus, GFI Languard, Retina, ISS
Real Secure, etc …
Scanners de Vulnerabilidades
Satan, Saint, Sara
Shadow Security Scanner
http://www.safety-lab.com
GFI Languard Network Security Scanner
http:///www.gfihispana.com
Retina
http://www.eeye.com
Nessus
http://www.nessus.org
NetBrute, R3X
Auditoría Caja Blanca
Se realiza internamente
Con privilegios y visualización completa del
sistema
Se utilizan herramientas proporcionadas por el
fabricante o propias
MBSA
EXBPA
MOM 2005
….
Actualizaciones en Microsoft
Security Patch
Critical Update
Update
Hotfix
Update Roll-Up
Service Pack
Niveles de Severidad
Rating
Definition
Critical
Exploitation could allow the propagation of an Internet
worm such as Code Red or Nimda without user action
Important
Exploitation could result in compromise of the
confidentiality, integrity, or availability of users’ data or
of the integrity or availability of processing resources
Moderate
Exploitation serious but mitigated to a significant
degree by factors such as default configuration,
auditing, need for user action, or difficulty of
exploitation
Low
Exploitation is extremely difficult, or impact is minimal
TechNet Security Bulletin Search:
http://www.microsoft.com/technet/security/current.asp
Gestión de Actualizaciones
MBSA
Ayuda a identificar sistemas Windows
vulnerables.
Escanea buscando actualizaciones no aplicadas y
fallos en la configuración del software.
Escanea distintas versiones de Windows y distintas
aplicaciones.
Escanea en local o múltiples máquinas en remoto
vía GUI o línea de comandos.
Genera informes XML sobre los resultados de cada
equipo.
Corre en Windows Server 2003, Windows 2000
y Windows XP
Se integra con SMS 2003 SP1, con SUS y
WSUS
MBSA
EXBPA
Examina un despliegue de Exchange
Server y determina si esta configurado
siguiendo las recomendaciones de
Microsoft.
Genera una lista de puntos, como
configuraciones mejorables, u opciones no
recomendadas o soportadas.
Juzga la salud general del sistema.
Ayuda a resolver los problemas
encontrados.
Busca también Actualizaciones de
Seguridad que falten.
EXBPA
Herramientas para la Gestión de
Actualizaciones
Usuario Final y Pequeña Empresa:
Microsoft Update
Pequeña y Mediana Empresa:
Windows Software Update Services
Mediana Empresa y Corporaciones:
SMS and the SMS Software Update
Services Feature Pack
Productos de Terceros
Compañía
Producto
URL
Altiris, Inc.
Altiris Patch Management
http://www.altiris.com
BigFix, Inc.
BigFix Patch Manager
http://www.bigfix.com
Configuresoft, Inc.
Security Update Manager
http://www.configuresoft.com
Ecora, Inc.
Ecora Patch Manager
http://www.ecora.com
GFI Software, Ltd.
GFI LANguard Network Security Scanner http://www.gfi.com
Gravity Storm Software, LLC
Service Pack Manager 2000
http://www.securitybastion.com
LANDesk Software, Ltd
LANDesk Patch Manager
http://www.landesk.com
Novadigm, Inc.
Radia Patch Manager
http://www.novadigm.com
PatchLink Corp.
PatchLink Update
http://www.patchlink.com
Shavlik Technologies
HFNetChk Pro
http://www.shavlik.com
St. Bernard Software
UpdateExpert
http://www.stbernard.com
Fortificación de Servidores
Fortificación
Consiste en la aplicación de tres principios:
Defensa en Profundidad (DP):
Máximo número de medidas de protección que se puedan
aplicar siempre que:
Una medida no anule a otra
No haya deterioro en la disponibilidad del sistema
Mínimo Punto de Exposición (MPE):
Un servidor solo ejecutar aquello que es estrictamente
necesario para su rol
Mínimo Privilegio Posible (MPP):
Cada componente del sistema se ejecuta con el menor de
los privilegios necesarios.
Se puede automatizar en función del rol
Plantillas de seguridad
Definen los valores necesarios para las directivas de
seguridad de los servidores en función de su rol y su
entorno.
Se pueden aplicar de forma local o a través del dominio.
Afectan a los siguientes componentes:
•Cuentas de usuario.
•Auditorías.
•Derechos de usuarios.
•Opciones de seguridad.
•Visor de sucesos.
•Grupos restringidos.
•Servicios.
•Claves de registro.
•Sistema de ficheros.
Guía de Seguridad en Windows Server 2003
Herramientas
Análisis y configuración
Resultante de políticas.
Sistema complementario de los
anteriores que evalúa no solo
plantillas de seguridad sino GPO.
Presenta dos herramientas:
RSoP. Herramienta gráfica.
GPRESULT. Línea de Comando.
GPMC
Seguridad en Servidores:
Windows 2003 SP1
Mejoras en la seguridad del Sistema
Post Setup Security Updates
Protección del Servidor durante el periodo en
el que se instala el Servidor y la instalación de
las últimas actualizaciones.
Windows Firewall esta activado por defecto si
explícitamente no se configura de otra manera
durante la instalación.
Mejoras en la Seguridad del Sistema
Post Setup Security Updates
Mejoras en la Seguridad del Sistema
Post Setup Security Updates
Se invoca después de:
Actualización de Windows NT4 a Windows Server
2003 SP1
Instalación combinada de Windows Server 2003 y
SP1
NO invocada después de:
Actualización desde Windows 2000 a Windows
Server 2003 SP1
Actualización desde Windows Server 2003 a SP1
Mejoras en la Seguridad del
Sistema Data Execution Prevention
Se configura en el Boot.ini
/noexecute=PolicyLevel
OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran específicamente.
OptOut – Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de
excepciones.
AlwaysOn – El Software DEP y el Hardware DEP siempre están
habilitadas. Cualquier excepción es ignorada.
AlwaysOff – El Software DEP y el Hardware DEP están
deshabilitadas.
Mejoras en la Seguridad del Sistema
Security Configuration Wizard
Identifica puertos abiertos
El asistente se debe de ejecutar con las aplicaciones
requeridas y los servicios arrancados.
Selecciona el role del servidor de la base de datos de
configuración.
Configura los servicios requeridos.
Configura los puertos para el Firewall de Windows
Configura la seguridad para LDAP y SMB
Configura una política de auditoria
Configura los parámetros específicos de los roles que
tiene el servidor.
Mejoras en la Seguridad del Sistema
Security Configuration Wizard
La configuración se salva en un fichero XML.
Se aplica por el asistente
Se puede aplicar una política de seguridad
existente a otro equipo.
Se puede aplicar desde la línea de comando.
scwcmd.exe configure /p:webserverpolicy.xml
Se puede usar en scripts
Sripts de instalación desatendida
Security Configuration Wizard
Seguridad en Clientes
Bests Practices
Fortificación estación de Trabajo
Windows XP Service Pack 2
Guía de fortificación de estaciones de
Windows XP
(http://www.microsoft.com/spain/technet)
Utilización de Firewall
Navegación restringida
Uso de Antivirus/Antispyware
Formación del usuario
Malicious Software Removal
Tool
Objetivos
Reducir el Impacto del malware en usuarios
Windows
Entender las tendencias del malware
Distribución
Windows Update
Centro de Descargas
Sitio Web
Reporte disponible públicamente
Actividad de MSRT
3.000.000.000
2.250.000.000
1.500.000.000
750.000.000
0
2.7 billones de
ejecuciones
270 millones de equipos
Resultados MSRT
(millions)
16
5,7
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
16 millones de infecciones
5.7 millones de equipos infectados
1 infección cada 311
Reducción del Impacto
50-74%; 12
25-49%; 7
Decremento; 50
0-24%; 6
Incremento; 3
75-100%; 25
Entender las tendencias
Tipo de Malware (miles de equipos)
3.538
1.151
781
592
238
Instant
Messaging
Worm
641
372
Virus
Exploit
Worm
P2P Worm
Rootkit
Mass
Mailing
Worm
Backdoor
Trojans
Troyanos de puerta trasera son la amenaza mas
significante y mas creciente
Los Rootkits son una amenaza emergente
Ingeniería Social 35%
Como ayuda Vista
Contra el Malware..
Prevención
Aislamiento
Remedios
Prevención
Amenaza
Tecnología en Vista
Vulnerabilidad de Software
•Ciclo de desarrollo seguro
•Actualizaciones Automáticas
•Windows Firewall/IPSec
•Data Execution Protection
•Address Space Layout Randomization
Ingeniería Social
•User Account Control
•Windows Defender
Vulnerabilidad de la Política
•Contraseña de Administrador en Blanco
•Firma de drivers en 64 bit
•Política de Firewall por Red
Aislamiento
Amenaza
Tecnología en Vista
Comportamiento del Sistema
Integridad de Sistemas de 64-bit
Recursos del Sistema
Fortificación de Servicios
Firewall Bidireccional
IE Protected Mode
Configuración del Sistema
User Account Control
Windows Defender
Remedios
Amenaza
Tecnología en Vista
Estado de la Seguridad
Centro de Seguridad de Windows
Limpieza de Spyware
Windows Defender
Limpieza de Virus
Windows Malicious Software Removal Tool
Mejoras en la Seguridad del Sistema
Data Execution Prevention
• Forzada por el hardware y el software
• Hardware DEP
• Requiere que el procesador lo soporte o implemente
• ElEjecutable
procesador marca áreas de la memoria como No
excepto si específicamente contiene código
ejecutable.
Puede causar problemas de compatibilidad.
•
• Software DEP
• Funcionalidad
en cualquier procesador que soporte
Windows Server 2003
• Protege
los binarios del sistema de ataques relacionados
con el manejo de las excepciones del sistema.
• Es raro que cause problemas de compatibilidad.
Protección de la Memoria
Data Execution Protection
Address Space Layout Randomization
Stack
Code
ASLR
Locals
Windows Code
Return Address
DEP
LoadLibrary()
Parameters
Library Code
Previous Frames
Application Code
Integridad de Sistemas de 64
Application
bitCreateFile()
Interrupt Dispatch Table
Kernel32.dll
CreateFileW()
Global Descriptor Table
System Service Dispatch Table
ntdll.dll
ZwCreateFile()
Interrupt Dispatch Table
System Service Dispatch
Table
2E
NtCreateFile()
Cambio fundamental en la
operativa de Windows
Hace que el sistema funcione bien como un usuario
estándar
Proporciona un método seguro para ejecutar aplicaciones
en un contexto elevado
Requiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar
compatibilidad.
Escrituras en el registro de la maquina son redirigidas a
localizaciones de usuario si el usuario no tiene privilegios
administrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones
que necesitan cuentas de administración de manera segura.
Protección de cuentas Usuario
UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio
de dos maneras distintas:
1.
El usuario no necesita tener privilegios administrativos para
realizar ciertas tareas para las que se necesitas esos privilegios
– En cambio:
Se le pregunta al usuario por credenciales con mas privilegios
2.
Aunque el usuario tenga privilegios superiores( Ejem. un
administrador), se le pregunta al usuario por su consentimiento
antes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se
necesita el consentimiento
Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx
Internet Explorer 7
Además de ser compatible con UAC, incluirá:
Modo Protegido que solo permite a IE navegar sin mas
permisos, aunque el usuario los tenga. Ejem. Instalar
software
Modo de “Solo-lectura”, excepto para los ficheros temporales
de Internet cuando el navegador esta en Zona de seguridad de
Internet
Filtro contra Phising que actualiza Microsoft cada poco
tiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles
Activex
Todos los datos de cache se eliminan con un solo click
MIC & UIPI
Mandatory Integrity Control (MIC).
Una aplicación no puede acceder a datos que tengan un Nivel
de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se
les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su
testigo de acceso
User Interfacer Privilege Isolation (UIPI)
Bloquea el acceso de procesos con Nivel de Integridad inferior
a procesos con Nivel de Integridad superior.
Filtro anti-Phishing
Protección dinámica contra Webs
Realiza
3 chequeos para proteger al usuario de
Fraudulentas
posibles timos:
1.
Compara el Sitio Web con la lista local de sitios legítimos conocidos
2.
Escanea el sitio Web para conseguir características comunes a los
sitios con Phising
3.
Cheque el sitio con el servicio online que tiene Microsoft sobre sitios
reportados que se actualiza varias veces cada hora
Dos niveles de Aviso y protección en la barra de
estado de IE7
Level 1: Warn
Level 2: Block
Suspicious Website
Signaled
Confirmed Phishing Site
Signaled and Blocked
Windows Defender
Monitorización
Detección
Limpieza
Software Explorer
SpyNet
10 Immutable Laws of Security
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp
1
If an attacker can persuade you to run his program on your computer, it's not your
computer anymore.
2
If an attacker can alter the operating system on your computer, it's not your computer
anymore.
3
If an attacker has unrestricted physical access to your computer, it's not your
computer anymore.
4
If you allow an attacker to upload programs to your website, it's not your website
anymore.
5
Weak passwords prevail over strong security.
6
A machine is only as secure as the administrator is trustworthy.
7
Encrypted data is only as secure as the decryption key.
8
An out-of-date virus scanner is only marginally better than no virus scanner at all.
9
Absolute anonymity isn't practical, in real life or on the Web.
10
Technology is not a panacea.
¿ Preguntas ?
Web MVPs
TechNews
Suscripción gratuita enviando un mail:
mailto:[email protected]
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene
un escenario virtualizado para ejecución de laboratorios. Un
técnico por grupo imparte explicaciones teóricas y plantea y
resuelve las practicas con los asistentes al mismo tiempo que
resuelve dudas. 6 horas de duración cada uno y 24 horas los
seminarios de Contramedidas Hacker.
Sistemas
http://www.microsoft.com/spain/HOLsistemas
Desarrollo http://www.microsoft.com/spain/HOLdesarrollo
Contacto
Chema Alonso
[email protected]
http://www.elladodelmal.com
http://www.vista-tecnica.com
http://www.informatica64.com/retohac
king
Descargar

Ataque