Presentacion Ontología de Seguridad para la securización de sistemas

Juan Antonio Calles García

1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía

1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía

Estudio DigiWorld Analiza los beneficios producidos en el mercado

económico de las Tecnologías de la Información ylas Telecomunicaciones en Europa

En el año 2009: Beneficios de mas de 900.000Millones de euros en el mercado económicobasado en las TIC.

Subida frente a 2008 de casi un 6%

NO.

Los beneficios producidos por las empresas delsector de las TIC están constantemente enpeligro, debido a los numerosos ataques de“hackers” que reciben.

Realizando auditorías de seguridad eimplantando sistemas seguros.

Para ello nacieron en la década de los 90empresas especializadas en el sector de laseguridad.

Estas empresas generaron solo en España640.000.000€ en 2008

Malware: utilizando software malicioso para conseguir enel peor de los casos el control de las máquinas.

Exploits: aprovecharse de vulnerabilidades en el softwarede la organización (normalmente bases de datos ysistemas operativos no actualizados) para modificar orobar datos.

Ataques web: inyectando código en las zonas malprotegidas de un sitio web.

Curiosidad: investigando las zonas no protegidas de unaorganización de forma manual o con automatizaciones desoftware.

Auditoría de Seguridad

Securización de las

vulnerabilidades encontradas en

la auditoría

Sistema Seguro

1. El estado de la informática en la actualidad

2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía

Auditoría de Seguridad

Auditoría de Aplicaciones Web

Auditoría interna

Caja Negra

Caja Blanca

Caja Gris

Ataques web: Pruebas para comprobar la seguridad de las aplicaciones

web de una empresa. Se revisan exploits y vulnerabilidades web:

▪ sql injection▪ ldap injection▪ xpath injection▪ cssp (connection string parameter pollution)▪ local file inclusion▪ remote file inclusion▪ ejecución de comandos con manipulación de tokens tipo && ; y ``▪ path disclosure▪ path transversal▪ XSS (Cross-site scripting)

Caja Negra

No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un

“hacker” desde fuera de la empresa

Caja Gris

Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a

Administrador y proseguir con auditoría de caja blanca.

Caja Blanca

Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y

poner soluciones.

Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€

No. La auditoría es necesaria para verificar la seguridad de una organización.

Tras realizar la auditoría de seguridad, esnecesario securizar el sistema, protegiendolas vulnerabilidades encontradas, trabajo queNO va incluido dentro de la auditoría y que seabonaría aparte.

Éste coste podría ser ahorrado por laorganización si su propio personal seencargase de la securización del sistema.

Securización de las

vulnerabilidades encontradas en

la auditoría

1. El estado de la informática en la actualidad2. Auditorías de Seguridad

3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía

Mediante un software que ayude a losusuarios a solucionar las vulnerabilidades delsistema.

En este proyecto se ha definido unaOntología de seguridad y se ha desarrolladouna aplicación para ayudar a los usuarios aproteger un sistema tras una fase deauditoría. Ahorrando así dinero a la empresa.

Auditoría de Seguridad

Securización de las

vulnerabilidades encontradas en

la auditoría

Sistema Seguro

Auditoría de Seguridad

ONTOLOGÍA DE

SEGURIDAD

Sistema Seguro

Al estilo “google”, indicándole a la aplicaciónlas vulnerabilidades que se nos han indicadoen el informe de la auditoría, nos detalla lasolución que debemos aplicar.

Conseguimos:

Sistema Seguro

La Ontología ha sido diseñada para resolverlas vulnerabilidades encontradas en la fase deAuditoría web y en la fase de Caja Negradentro de la Auditoría Interna, omitiendo lasfases de Caja Blanca y Caja Gris por su granextensión.

Contiene mas de 50 soluciones avulnerabilidades.

La Ontología es capaz de dar solución a las siguientesvulnerabilidades web sql injection (PHP+MySQL). sql injection (JAVA). sql injection (C#, SQL Server). ldap injection. xpath injection. cssp (connection string parameter pollution). local file inclusión. remote file inclusion (PHP). path disclosure. path traversal.

La Ontología es capaz de dar solución a lassiguientes vulnerabilidades producidas pordescuidos de Footprinting Fuzzing http

Fuzzing dns

Whois

Transferencia de zona

Mostrar banner por defecto del servidor

Error 404 no controlado

Metadatos en documentos web

La Ontología es capaz de dar solución a las siguientes vulnerabilidadesproducidas por descuidos de Fingerprinting

Puertos abiertos extraños.

Puertos abiertos innecesarios

Y a los siguientes Exploits:

Buffer Overflow.

Race condition.

Format string Bugs.

XSS

sql injection (PHP+MySQL)

sql injection (JAVA)

sql injection (C#, SQL Server)

CRLF (Inyección de caracteres).

La Ontología es capaz de dar solución a los siguientes tipos deMalware Adware Backdoor Badware alcalino Bomba fork Botnet Crackers Cryptovirus Dialers Hoaxes, Jokes o Bulos Keylogger Virtual crab o Ladilla virtual Leapfrog

Parásito informático Pharming Phising Pornware Riskware Rootkit Spam Spyware Troyano Worms

Pregunta: ¿Qué antimalware elimina el malware rootkit?

Antimalware + Elimina el malware: + contains + Rootkit

Respuesta: La solución es identificarlos mediante antirootkits como ICE SWORD oROOTKIT REVEALER

Pregunta: ¿Qué solución a exploit soluciona el error producido por un sql injection?

Solución a exploit + soluciona el error + contains + sql injection (C#, SQL Server)

Respuesta: Parametrizar los string que inserta un usuario como variables, para que laBBDD las interprete únicamente como texto y no las ejecute

Pregunta: ¿Qué suceso produce el malware Keylogger?

Suceso producido por malware + nombre malware + contains + keylogger

Respuesta: Programa espía que intenta robar las contraseñas leídas mediante pulsacionesen el teclado

Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatosalojados en los documentos web?

Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web

Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos aun servidor, o sino instalar una herramienta como Meta Shield Protector(www.metashieldprotector.com) que elimina los metadatos de los documentos en tiemporeal antes de que sean descargados por un usuario.

Pregunta: ¿Qué solución a error web soluciona el “remote file inclusion”?

Solución a error web + soluciona el + contains + remote file inclusión (PHP)

Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que seencuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar lapetición web

La implementación del software ha sidorealizada con la aplicación Protégé.

1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad

4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía

1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo

5. Conclusiones y Trabajos Futuros6. Bibliografía

La Ontología de Seguridad ahorraría bastantedinero a las empresas, que podrían prescindirde los servicios de personal externo paraimplantar un sistema seguro tras una fase deauditoría

Como trabajo futuro se propone aumentar labase de datos del conocimiento de laOntología a las fases de Caja Gris y CajaBlanca de la fase de Auditoría Interna.

1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros

6. Bibliografía

Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año

pasado, http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008.

ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sql inyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sql inyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre

2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP Injection Techniques,

ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind

LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL

InjectionTime-based Using Heavy Queries: A practical Approach for MS SQL Server, MS Access, Oracle and MySQL Databases, IASK 2007, Oporto (Portugal), Diciembre 2007

Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback)

Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.