Inseguridad y computación en la bnube

Bogota, Colombia, Junio de 2011

Armando Carvajalj

Msc Seguridad Información

Gerente Arquitecto de soluciones

Globaltek Security

Índice de la conferencia• Antecedentes, Terminología, Definiciones

• Riesgos de la computación en la nube

• Recomendaciones

• Casos de Uso: Algunas propuestas tomadas de RSA 2011

• Predicciones, Conclusiones

• Demostración de jailbreak y pruebas de fortalezas de las claves en un dispositivo móvilclaves en un dispositivo móvil 

ANTECEDENTES, DEFINICIONES Y TERMINOLOGIA SOBRE LATERMINOLOGIA SOBRE LA COMPUTACION EN LA NUBE

Computacion en la nubeComputacion en la nube• 1961, John McCarthy propone que la computación en red sea como un servicio, tal como la electricidad [1]

• 2009, Algunas personas no  Tomada de:// / /

creen que este concepto sea nuevo, Bruce Scheneir [2]

http://blogempresarios.com/los-peligros-del-cloud-computing-ii/

Computacion en la nubeComputacion en la nube• 2009, NIST: «Cloud computing is a model 

for enabling convenient on demandfor enabling convenient, on‐demand network access to a shared pool of configurable and reliable computing resources (network, servers, storage, applications, services) that can be rapidly provisioned and released with minimal  Tomada de:

// / /pconsumer management effort or service provider interaction» [3]

http://blogempresarios.com/los-peligros-del-cloud-computing-ii/

Computacion en la nube, sin p ,complejidad: [4]

Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html

SaaS: Software as a service• Es un servicio de software integrado que proporciona a los usuarios herramientas fundamentales para la  operación del negocio: Correo, ofimática, Backups, Correo. 

• No es de uso exclusivo de una organización en particular

Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html

PaaS: Plataforma como servicio • Servicio ofrecido en la nube para los desarrolladores de aplicaciones

• Utilizando herramientas proporcionadas por el proveedor, pueden crear aplicaciones sin la p pnecesidad de instalar programas en el punto finalp

Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html

IaaS: Infraestructura como servicio • Almacenamiento, capacidad de computo, redes, servidores e infraestructura de alto desempeño sin tener que realizar grandes inversiones en infraestructura y recurso humano para que las administre

Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html

Computacion en la nube, un punto p , pde vista muy simple:

Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html Tomado de “Cloud Computing: A Brave New World for Security and Privacy, RSA 2011”

RIESGOS DE LA COMPUTACION EN LA NUBELA NUBE

Evidencia: 

Creciente numero alarmante de Incidentes 

d id d d lde seguridad de la información

http://cloutage.org/

Evidencia: No queremos leerlo

Riesgos por políticas débiles de:• Los controles de acceso por usuario, proceso y recursos a utilizar son débiles: Autenticación, ,Autorización, Accounting (AAA)

• Autenticación: Identificación única débil paraAutenticación: Identificación única débil para rendición de cuentas

• Suplantación: No se esta haciendo autenticación• Suplantación: No se esta haciendo autenticación de doble factor como mínimo

Riesgos por políticas débiles en:• Baja frecuencia de actualización en el Análisis de riesgosriesgos

• No se están haciendo suficientes análisis de vulnerabilidades y pruebas de penetración alvulnerabilidades y pruebas de penetración al puno final 

El hi i d t l bilid d l• El hipervisor puede tener vulnerabilidades, el punto final puede tener vulnerabilidades, ej: i d l Bl k b l t bl t ?)ipad, el Black berry, la tablet marca xyz?)

Riesgos por políticas débiles en:• Protección de datos sensibles: No sabemos que es confidencial, de uso interno, publicoes confidencial, de uso interno, publico

• Cifrado de Comunicaciones confidenciales

SIEM Débil l ió d t b d• SIEM: Débil correlación de eventos basados en logs y gestión de incidentes

• Débil cadena de custodia en Investigación Forense

RECOMENDACIONES

RECOMENDACIONES• Debemos alinearnos al negocio e iniciar por un único proceso que se pueda medirun único proceso que se pueda medir

• Por ejemplo probar un prototipo de un nuevo producto del proceso de ventas que rompaproducto del proceso de ventas que rompa paradigmas, no solo que baje costos

D b di l di i t d l• Debemos medir el rendimiento de los servicios ofrecidos de los proveedores

• Debemos pedir SLA a los proveedores 

RECOMENDACIONESRECOMENDACIONES• SLA: Como se me resarcirán por los daños a mi patrimonio cuando el proveedor de computación en la nube incumpla lo pactado en seguridad de la información:

• Por ejemplo un ataque DDoS me dejo por fuera de mis sistemas de información por 3 días…Es esto posible, hay evidencias?

RECOMENDACIONES• Obtenga compromisos de los proveedores respecto de como se manejara larespecto de como se manejara la Confidencialidad y la Integridad de los datos sensibles…sensibles…

• Generalmente la disponibilidad no suele ser un problema en la computación en la nubeun problema en la computación en la nube

• Haga análisis de riesgos del negocio en ciclos y id l fid i lid d i id d!!mida la confidencialidad y privacidad!!

RECOMENDACIONES• Mida el grado de resiliencia de su organización (Gobierno, Seginfo, BCP) para mantenerse en la nube

• Clasifique su información antes de entrar a la computación en la nube (que es publico, que es  de uso interno, que es confidencial)

• Cree una oficina de gestión de proyectos

RECOMENDACIONESCO C O S• Siga las políticas de «cloud computing» de su segmento de mercado (En EEUU para el sectorsegmento de mercado (En EEUU para el sector gobierno es mandatorio ir hacia la computación en la nube)computación en la nube)

• Cree modelos, arquitecturas y caminos que d d l l d ógeneren seguridad a la alta dirección

RECOMENDACIONES• Diseñe primero para el subproceso critico del negocio que probara antes de irse a la nube, 

• No se lance a la nube sin modelar (arquitectar) 

• No espere a que le digan «Mejor No» por queNo  espere a que le digan «Mejor No» por que usted infunde inseguridad y miedo,

• Si le dicen no Muestre su mapa de riesgos del• Si le dicen no…Muestre su mapa de riesgos del proceso que llevara a la nube, esto infunde seguridad y decisiónseguridad y decisión

RECOMENDACIONES• Haga segregación de datos

A dit l i i t t d• Audite los servicios contratados

• Informe mensualmente a la gente del negocio sobre las amenazas cambiantes

• Antes de entrar a la nube asegúrese que el proveedor permite cumplir con las regulaciones de su mercado: PCI, SOX, Circular 052, etc

APROXIMACIONES DE SOLUCIONES

CASOS DE USO

TOMADOS DE RSA 2011TOMADOS DE RSA 2011

Tomado de: Trusted IaaS Charlton Barreto, Intel Hemma Prafullchandra, HyTrust, RSA 2011

PREDICCIONES PARA LOS SIGUIENTES 10 ANIOSSIGUIENTES 10 ANIOS

PREDICCIONES• En los próximos 10 anos la computación en la nube permitirá crecer el contenido para adultos en internet (nos atrae lo prohibido / falla que es intrinseca al ser humano=vulnerabilidad ☺)

• Crecerán las amenazas persistentes en forma polimorfica por el desafio y el extasis generado en nuestro cerebro al quebrar un sistema de información (Vulnerabilidad intrínseca al ser humano ☺ )

PREDICCIONES• Aumento de incidentes por medio de dispositivos móviles / inalámbricosdispositivos móviles / inalámbricos

• Apple y google competirán por el primer t di iti ó il dpuesto en dispositivos móviles para acceder a 

la nube

• Apple/Tablet tendrá la mayor cantidad de aplicaciones disponibles para acceder a la nube y también la mayoría de fallas!

PREDICCIONES• Se romperá el cifrado RSA por el aumento computacional distribuido en la nubecomputacional distribuido en la nube

• Aumentaran los incidentes por hacking de webservices (La nube es puro web)webservices (La nube  es puro web)

• Aumento descontrolado de ataques DDoS en l bla nube

PREDICCIONES• Aumento de incidentes en seguridad de la información sobre datos sensiblesinformación sobre datos sensibles

• Creceran los ataques desde el móvil por errores involuntarios de los usuarioserrores involuntarios de los usuarios

• El perímetro se desplazará hacia el usuario

PREDICCIONES (DELIRIOS)• Los hinodoros inteligentes conectados a la nube en forma proactiva nos anticiparannube en forma proactiva nos anticiparan posibles complicaciones por enfermedades latenteslatentes

• Las pantallas de nuestros computadores seran de cristal transparente y por medio dede cristal transparente y por medio de sensores no necesitaremos teclados y mouses

CONCLUSIONESCONCLUSIONES• …Igual que antes: Si tenemos conciencia de los problemas enunciados tenemos soluciones que no necesariamente son de índole técnica

• El autor de esta charla insiste en volver al principio fundamental de hacer análisis de riesgos y generar métricas que muestren la gestión del riesgo en la nube (SGSI), como si fuera un PYG mensual

CONCLUSIONESCONCLUSIONES• Seguridad, privacidad, y responsabilidad para con los datos de mis clientes y los míos propios son los «principales problemas»de la computación en la nube

• Los proveedores deben ser mas transparentes con nosotros los clientes respecto de como me responderán por la seguridad de mi información

CONCLUSIONES• La computación en la nube esta madurando y llego para quedarse entre nosotrosllego para quedarse entre nosotros

• No es justo que se madure a punta de ensayo t i f ióy error con nuestra información

• El fin justifica los medios?, es decir hay que bajar costos así sea que nos toque pasar a la nube y luego resolvemos lo del cuento de seguridad? 

CONCLUSIONESCONCLUSIONES• Abogado del Diablo: Estamos exagerando?

• Quien asumirá los problemas legales y financieros de los impactos a la privacidad?p p

DEMO: HACKING DE UN IPHONE QUE PUEDE ACCEDER A LA NUBE

DEMO I

JAILBREAK IPHONE 3JAILBREAK IPHONE 3

Paso 1: Descarga de la imagen ISOPaso 1: Descarga de la imagen ISO

• Se debe descargar la imagen ISO conSe debe descargar la imagen ISO con extensión ipsw que sea igual o mayor a la versión de su iPhone desde el sitio:versión de su iPhone desde el sitio: http://www.felixbruns.de/iPod/firmware/

Paso 2: Descargar el software para hacer el JailbreakJailbreak

• Existen varias opciones como son:

• Redsnow

• Sn0wbreezeSn0wbreeze

• blackRain

P t d R d 0• Para este caso se descarga Redsn0w

Paso 3: Se ejecuta como administrador redsn0w

Paso 4: Modo DFU:

Paso 5: exploit que permita abrir las bandas para permitir que el celular funcione con la tarjeta SIM depermitir que el celular funcione con la tarjeta SIM de 

cualquier proveedor

DEMO II

ROMPER LA CLAVE DEL ROOT

Ataque de diccionarioq• hydra –t 8 –l root –f –P password.lst ‐S IP‐IPHONE ssh2

• Clave = alpineClave     alpine

• Todos los IPHONE usan como administrador el usuario root con la clave alpineusuario root con la clave alpine

• Es un riesgo para la seguridad de la i f ió ?información? 

• Si alguien se apodera del root de mi iphone podría ver mi información sensible?

Sera difícil una sesión SSH?Sera difícil una sesión SSH?

Que es consolidated db?Que es consolidated.db?

DEMO III

ANÁLISIS DE VULNERABILIDADES PARA UN DISPOSITIVO MOVILPARA UN DISPOSITIVO MOVIL

Tengo IP en un teléfono móvil?Tengo IP en un teléfono móvil?

Vulnerabilidades en IPHONE4

Los Iphone 4 ver 4.3.3 (8J2) a la fecha tienen fallas:

BIBLIOGRAFIA• [1] McCarthy, J., “Centennial Keynote Address”, MIT, 1961Address , MIT, 1961

• [2] Bruce Schneir, www scheneier com/blog/archives/2009/06/clwww.scheneier.com/blog/archives/2009/06/cloud_computing.html

[3] P t M ll d Ti G NIST• [3] Peter Mell and Tim Grance, NIST, csrc.nist.gov/groups/SNS/cloud‐

ti / l d ti 25 tcomputing/cloud‐computing‐v25.ppt

BIBLIOGRAFIABIBLIOGRAFIA• [4] CLOUD SECURITY. A Comprehensive Guide to Secure Cloud Computing. Ronald L. Krutz and Russell Dean Vines. Cloud Computing Fundamentals. Chapter 2. 

• …