Juan Antonio Calles García
Jul 03, 2015
Juan Antonio Calles García
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
Estudio DigiWorld Analiza los beneficios producidos en el mercado
económico de las Tecnologías de la Información ylas Telecomunicaciones en Europa
En el año 2009: Beneficios de mas de 900.000Millones de euros en el mercado económicobasado en las TIC.
Subida frente a 2008 de casi un 6%
NO.
Los beneficios producidos por las empresas delsector de las TIC están constantemente enpeligro, debido a los numerosos ataques de“hackers” que reciben.
Realizando auditorías de seguridad eimplantando sistemas seguros.
Para ello nacieron en la década de los 90empresas especializadas en el sector de laseguridad.
Estas empresas generaron solo en España640.000.000€ en 2008
Malware: utilizando software malicioso para conseguir enel peor de los casos el control de las máquinas.
Exploits: aprovecharse de vulnerabilidades en el softwarede la organización (normalmente bases de datos ysistemas operativos no actualizados) para modificar orobar datos.
Ataques web: inyectando código en las zonas malprotegidas de un sitio web.
Curiosidad: investigando las zonas no protegidas de unaorganización de forma manual o con automatizaciones desoftware.
Auditoría de Seguridad
Securización de las
vulnerabilidades encontradas en
la auditoría
Sistema Seguro
1. El estado de la informática en la actualidad
2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
Auditoría de Seguridad
Auditoría de Aplicaciones Web
Auditoría interna
Caja Negra
Caja Blanca
Caja Gris
Ataques web: Pruebas para comprobar la seguridad de las aplicaciones
web de una empresa. Se revisan exploits y vulnerabilidades web:
▪ sql injection▪ ldap injection▪ xpath injection▪ cssp (connection string parameter pollution)▪ local file inclusion▪ remote file inclusion▪ ejecución de comandos con manipulación de tokens tipo && ; y ``▪ path disclosure▪ path transversal▪ XSS (Cross-site scripting)
Caja Negra
No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un
“hacker” desde fuera de la empresa
Caja Gris
Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a
Administrador y proseguir con auditoría de caja blanca.
Caja Blanca
Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y
poner soluciones.
Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€
No. La auditoría es necesaria para verificar la seguridad de una organización.
Tras realizar la auditoría de seguridad, esnecesario securizar el sistema, protegiendolas vulnerabilidades encontradas, trabajo queNO va incluido dentro de la auditoría y que seabonaría aparte.
Éste coste podría ser ahorrado por laorganización si su propio personal seencargase de la securización del sistema.
Securización de las
vulnerabilidades encontradas en
la auditoría
1. El estado de la informática en la actualidad2. Auditorías de Seguridad
3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
Mediante un software que ayude a losusuarios a solucionar las vulnerabilidades delsistema.
En este proyecto se ha definido unaOntología de seguridad y se ha desarrolladouna aplicación para ayudar a los usuarios aproteger un sistema tras una fase deauditoría. Ahorrando así dinero a la empresa.
Auditoría de Seguridad
Securización de las
vulnerabilidades encontradas en
la auditoría
Sistema Seguro
Auditoría de Seguridad
ONTOLOGÍA DE
SEGURIDAD
Sistema Seguro
Al estilo “google”, indicándole a la aplicaciónlas vulnerabilidades que se nos han indicadoen el informe de la auditoría, nos detalla lasolución que debemos aplicar.
Conseguimos:
Sistema Seguro
La Ontología ha sido diseñada para resolverlas vulnerabilidades encontradas en la fase deAuditoría web y en la fase de Caja Negradentro de la Auditoría Interna, omitiendo lasfases de Caja Blanca y Caja Gris por su granextensión.
Contiene mas de 50 soluciones avulnerabilidades.
La Ontología es capaz de dar solución a las siguientesvulnerabilidades web sql injection (PHP+MySQL). sql injection (JAVA). sql injection (C#, SQL Server). ldap injection. xpath injection. cssp (connection string parameter pollution). local file inclusión. remote file inclusion (PHP). path disclosure. path traversal.
La Ontología es capaz de dar solución a lassiguientes vulnerabilidades producidas pordescuidos de Footprinting Fuzzing http
Fuzzing dns
Whois
Transferencia de zona
Mostrar banner por defecto del servidor
Error 404 no controlado
Metadatos en documentos web
La Ontología es capaz de dar solución a las siguientes vulnerabilidadesproducidas por descuidos de Fingerprinting
Puertos abiertos extraños.
Puertos abiertos innecesarios
Y a los siguientes Exploits:
Buffer Overflow.
Race condition.
Format string Bugs.
XSS
sql injection (PHP+MySQL)
sql injection (JAVA)
sql injection (C#, SQL Server)
CRLF (Inyección de caracteres).
La Ontología es capaz de dar solución a los siguientes tipos deMalware Adware Backdoor Badware alcalino Bomba fork Botnet Crackers Cryptovirus Dialers Hoaxes, Jokes o Bulos Keylogger Virtual crab o Ladilla virtual Leapfrog
Parásito informático Pharming Phising Pornware Riskware Rootkit Spam Spyware Troyano Worms
Pregunta: ¿Qué antimalware elimina el malware rootkit?
Antimalware + Elimina el malware: + contains + Rootkit
Respuesta: La solución es identificarlos mediante antirootkits como ICE SWORD oROOTKIT REVEALER
Pregunta: ¿Qué solución a exploit soluciona el error producido por un sql injection?
Solución a exploit + soluciona el error + contains + sql injection (C#, SQL Server)
Respuesta: Parametrizar los string que inserta un usuario como variables, para que laBBDD las interprete únicamente como texto y no las ejecute
Pregunta: ¿Qué suceso produce el malware Keylogger?
Suceso producido por malware + nombre malware + contains + keylogger
Respuesta: Programa espía que intenta robar las contraseñas leídas mediante pulsacionesen el teclado
Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatosalojados en los documentos web?
Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web
Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos aun servidor, o sino instalar una herramienta como Meta Shield Protector(www.metashieldprotector.com) que elimina los metadatos de los documentos en tiemporeal antes de que sean descargados por un usuario.
Pregunta: ¿Qué solución a error web soluciona el “remote file inclusion”?
Solución a error web + soluciona el + contains + remote file inclusión (PHP)
Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que seencuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar lapetición web
La implementación del software ha sidorealizada con la aplicación Protégé.
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad
4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo
5. Conclusiones y Trabajos Futuros6. Bibliografía
La Ontología de Seguridad ahorraría bastantedinero a las empresas, que podrían prescindirde los servicios de personal externo paraimplantar un sistema seguro tras una fase deauditoría
Como trabajo futuro se propone aumentar labase de datos del conocimiento de laOntología a las fases de Caja Gris y CajaBlanca de la fase de Auditoría Interna.
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros
6. Bibliografía
Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año
pasado, http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008.
ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sql inyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sql inyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre
2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP Injection Techniques,
ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind
LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL
InjectionTime-based Using Heavy Queries: A practical Approach for MS SQL Server, MS Access, Oracle and MySQL Databases, IASK 2007, Oporto (Portugal), Diciembre 2007
Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback)
Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.