robo de información

Robo de información en infraestructuras IT & SCADA

José Ramón Palanco

miércoles 3 de octubre de 12

Índice

1.El problema

2.Clasificación de la información

3.Escenario de robo/fuga de información

4.Evolución de los ataques

5.Respuesta ante ataques

6.Preguntas


El problemamiércoles 3 de octubre de 12

El problema

• Cada vez tratamos con más información

• Mayor volumen de tráfico a través de Internet

• Incremento de usuarios que acceden a los datos


Conductas detectadas

• Uso de aplicaciones no autorizadas

• Uso indebido de dispositivos de trabajo

• Acceso no autorizado (físico y lógico)

• Seguridad en trabajadores remotos

• Uso indebido de claves


Origen del robo

Fuente: INEGI


Origen del robo

Fuente: INEGI

24%

76%

Interno Externo

Europa / USA


Origen del robo

Fuente: INEGI

24%

76%

Interno Externo

Europa / USA

33%

67%

Interno Externo

México


Perdida de información


Perdida de información

71%

29%

Robo de informaciónExtravío de dispositivos


Ataques comunes

•Ataques malware

•Fallos de software

•Errores humanos

•Actos de espionaje e invasión

•Actos de sabotaje y vandalismo


Presupuesto en seguridad

0

25

50

75

100

2006 2007 2008

111222

1823

2424

2668

611

1111

10

12713

161514

Desconocido10% +8-10%6-7%3-5%1-2%1% -

Fuente: CSI Survey


Términos

• Integridad: Es la garantía de que los datos están protegidos de ser modificados de manera accidental o deliberada

• Disponibilidad: Es la capacidad de permitir que la información esté accesible para ser obtenida

• Activo: Recurso del sistema de información que es necesario para que la organización funcione correctamente

• Amenaza: Evento que puede desencadenar un incidente en la organización. Implica que se vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataque

• Impacto: Es la medida en la que se materializa una amenaza

• Riesgo: Probabilidad de que se produzca un impacto determinado en un activo, dominio ó en toda la organización

• Vulnerabilidad: Exposición a una amenaza de un activo debido a los defectos de un sistema

• Ataque: Evento que atenta sobre los sistemas que rodean un activo con el fin de comprometerlos


VulnerabilidadImpacto

Activo Amenaza

Riesgo

Implementación

Servicio de salvaguarda

Mecanismos de salvaguarda

Frecuencia de materialización

Reduce

PreventivaMinimizadora

ReduceDecisión

Se incorpora a


Clasificación de la información


Tipos de información

• Restringida: Información de uso exclusivo de un grupo de personas de la organización

• Altamente confidencial

• Confidencial

• Interna

• Pública


Escenarios de robo/fuga de información


Corporate Network scheme


Threats to data• Insecurity of access to information derived from users unconsciously


Threats to data• Malicious users create insecurity in the management of corporate

information


Threats to data• Corporate information suffers an additional threat to the possibility of

external attacks by hackers or competitors


New concerns


Evolución de los ataques


Ataque clásico

• Buscan servidores corporativos vulnerables expuestos en la DMZ

• Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna

• Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemas


Ataque clásico: Obtención de información

• Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local

• GHDB

• bloques asignados

• Trashing


Ataque clásico: Escaneo / Enumeración

• Análisis de zonas DNS

• GHDB/BHDB

• Identificación de sistema operativo: p0f

• Escaneo de puertos para identificar servicios disponible: nmap

• Revisión de seguridad web: w3af (sqli, directory transversal, ...)


Ataque clásico: Ganar acceso

• Claves por defecto

• Identificación de software vulnerable: nessus

• Explotación de software vulnerable: metasploit

• Ataque por fuerza bruta: medusa

• Obtener fichero de claves cifradas y crackearlo: John The Ripper


Ataque clásico: Mantener acceso: rootkits

• LKM para Linux (KBeast)

• LD_PRELOAD Linux (Jynx Kit)

• Connect back script Linux(darkBC)

• Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat -descontinuado-)


Ataque clásico: Cubrir huellas

• Limpieza de ficheros de logs

• wtmp

• wtmpx

• utmp

• utmpx

• lastlog

• ulw.c / szapper.c


APT: Advanced Persisten Threat

• Adaptación del modus operandi de mass infection botnets

• Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados.

• Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso

• Threat: Dirigido por organizaciones con muchos recursos económicos


APT: Aurora Operation

• Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..)

• Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6

• Instala Trojan.Hydraq (no es muy avanzado)


APT: Obtención de información

• Análisis de la organización

• empleados y organigrama

• software instalado

• Herramientas:

• FOCA

• Maltego

• LinkedIn


APT: investigación de explotación

• Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas.

• Las aplicaciones más comunes son:

• Adobe Acrobat Reader y Adobe Flash

• Internet Explorer

• Microsoft Word, Microsoft Excel

• El payload consistirá en descargar un ejecutable para tomar control total


APT: Creación de malware

• Puede hacerse a medida ó utilizarse builders para:

• ZeuS

• SpyEye

• Limbo

• Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirus


APT: Protocolo C&C

• Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red

• Suele ser un protocolo obfuscado para evitar ser detectado

• Puede usar ssl

• Puede estar camuflado

• como tweets

• como protocolo DNS


APT: Ingeniería social / Spear phishing

• SET: Social Engineering Toolkit

• DNS Spoofing

• Phishing

• SMS Spoofing

• Mass mailer

• Wireless AP Spoofing


APT SCADA

• Supervisory Control And Data Acquisition

• Procesos industriales (producción, fabricación..)

• Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo

• Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, ..


APT: SCADA STUXNET

• Descubierto en Junio 2010

• Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772

• Atacaba infraestructuras críticas de centrales nucleares en Irán

• El primer sistema en incluir un rootkit para PLC

• Actualizable por P2P (aunque el servidor C&C no esté disponible)


APT: SCADA DUQU

• Descubierto en Septiembre del 2010

• Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087

• Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán.

• C&C Servers: Vietnan, Belgica, India y China


APT: ESPIONAJE FLAME

• También conocido como sKyWIper

• Descubierto en Mayo del 2012

• Usado para acciones de espionaje en Oriente Medio

• Es probablemente el malware más complejo de la historia

• Se propaga por la red o mediante dispositivos USB

• Controla comunicaciones Skype, Bluetooth, ...

• Es enorme, incluye un intérprete LUA


APT SCADA: Obtención de información

• Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red

• Pais

• Tipo de dispositivo

• Fabricante

• Protocolos que acepta

• Se puede obtener información de los brouchures de los fabricantes


Respuesta ante ataquesmiércoles 3 de octubre de 12

Protección ante fuga de datos

• Data Leakage Protection

• Control de tráfico de red en diferentes protocolos

• SMTP, FTP, ..

• Análisis web: dropbox, gmail, facebook, pastebin, ..

• Endpoint: análisis de tareas realizadas en el equipo de escritorio

• Copiar ficheros confidenciales

• Realizar capturas de pantalla de información sensible


Prevención de ataques clásicos

• Preventivos / proactivos

• Firewall

• IPS

• Post intrusión

• Análisis forense


Prevención de APT

• Preventivo

• No es 100% eficaz

• Análisis en tiempo real de ficheros PDF, Office, ...

• Endpoint que monitoriza procesos vulnerables

• Post Intrusión

• Ejecución en una máquina virtual

• Análisis forense de malware (inmunity, ida pro, virustotal, ..)


Preguntas


robo de información

Technology