Security On Site I

Chema Alonso
MVP Windows Server Security
Informática 64
chema@informatica64.com
Agenda

Principios de Seguridad
Ataques a Sistemas
Actualizaciones de Seguridad
Seguridad en Servidores
Seguridad en Clientes
Principios de Seguridad
Seguridad
La seguridad depende de 3 factores:
Procesos:
Procedimientos y operaciones en nuestros
entornos
Personas
Poca formación
Tecnología:
Estándares (TCP/IP)
Productos de los fabricantes (IIS,Apache)
Desarrollos personales
¿Porque Atacan?
Hacer Daño Motivos Personales
Alterar, dañar or borrar Desquitarse
información Fundamentos políticos o
terrorismo
Denegar servicio
Gastar una broma
Dañar la imagen pública Lucirse y presumir

Motivos Financieros
Robar información
Chantaje
Fraudes Financieros
Impacto de los Ataques
Pérdida de Daños en la
Beneficios reputación

Deterioro de la Datos
confianza de los comprometidos
inversores

Daños en la Consecuencias Interrupción de

confianza de los legales los procesos de
clientes (LOPD/LSSI) Negocio
Bug

Un error de software o computer bug, que

significa bicho de computadora, es el resultado
de una falla de programación introducida en el
proceso de creación de programas de
computadora. El término bug fue acreditado
erróneamente a Grace Murray Hopper, una
pionera en la historia de la computación, pero
Thomas Edison ya lo empleaba en sus trabajos
para describir defectos en sistemas mecánicos
por el año 1870.

Fuente: Wikipedia en Español

Exploit
Exploit (viene de to exploit - aprovechar) - código escrito
con el fin de aprovechar un error de programación para
obtener diversos privilegios. software.
Un buen número de exploits tienen su origen en un
conjunto de fallos similares. Algunos de los grupos de
vulnerabilidades más conocidos son:

Vulnerabilidades de desbordamiento de pila o buffer overflow.

Vulnerabilidades de condición de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string bugs).
Vulnerabilidades de Cross Site Scripting (XSS).
Vulnerabilidades de inyección SQL (SQL injection).
Vulnerabilidades de inyeccion de caraceres (CRLF).

Fuente: Wikipedia en Español

Payload

In computer virus jargon, the payload of

a virus or worm is any action it is
programmed to take other than merely
spreading itself. The term is used for all
intended functions, whether they actually
work or not.

Fuente: Wikipedia
Software Seguro
El software Fiable es aquel que hace lo que se
supone que debe hacer.
El software Seguro es aquel que hace lo que se
supone que debe hacer, y nada mas.
Son los sorprendentes “algo mas” los que producen
inseguridad.
Para estar seguro, debes de ejecutar solo
software perfecto :-)
O, hacer algo para mitigar ese “algo mas”
Código y poder
El código fuente es poder
Tanto para defenderse como para atacar
Compartir el código es compartir el poder.
Con los atacantes y defensores
Publicar el código fuente sin hacer nada
más degrada la seguridad
Por el contrario, publicar el código fuente
permite a los defensores y a otros elevar
la seguridad al nivel que les convenga.
Proceso explotación
Vulnerabilidad
1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
 Número de dias transcurridos entre la publicación del update de seguridad y el
impacto del virus

Win32

Linux/Unix

Nombre
del Virus Slammer BugBear Slapper Ramen Klez Lion Scalper Nimda CodeRed Blaster
Vulnerabilidades
http://www.securityfocus.com/bid
Sofisticación de los Ataques vs.
Conocimientos requeridos
Ataques a Sistemas
Ataque:
Envenenamiento ARP
Técnicas de Spoofing

Las técnicas spoofing tienen como

objetivo suplantar validadores
estáticos
Un validador estático es un medio de
autenticación que permanece invariable
antes, durante y después de la
concesión.
Niveles Afectados

Nombres de dominio
SERVICIO Direcciones de correo electrónico
Nombres de recursos compartidos

RED Dirección IP

ENLACE
ENLACE Dirección MAC
Tipos de técnicas de Spoofing
Spoofing ARP
• Envenenamiento de conexiones.
• Man in the Middle.

Spoofing IP
• Rip Spoofing.
• Hijacking.

Spoofing SMTP

Spoofing DNS
• WebSpoofing.
Ataque ARP Man In The Middle

1.
4
:4

en :88
6: n

1.
:6 a e

99 44
55

5:

1.
77 st

1
8: e

es
:7
:8 1.2

ta
7:
99 1.

66
1.

:5
1.1.1 e
ie n
.1
i ent
¿Qu 1.2?
.
1.1
1.1.1.2 esta en
00:11:22:33:44:55:66
1.1.1
.2
Protección contra Envenenamiento

Medidas preventivas.

• Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicación:
• S/MIME.
• SSL.

• Certificado de comunicaciones.
Protección contra Envenenamiento

Medidas reactivas.

Utilización de detectores de Sniffers.

• Utilizan test de funcionamiento anómalo.

Test ICMP.
Test DNS.
Test ARP.
Sistemas de Detección de Intrusos
Frase vs. Passwords

●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●
● ●
● ●
● ●
● ●
● ●
● ●
●
● ●
● ●
● ●
● ●
● ●
● ●
●●●●●● ●●● ●●●● ●●●●●●●● ●●●●●●● ●●●●●●●● ●●● ●●●● ●●●●●●●● ●●●
Ataque:
SQL – Injection
Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada.
Datos de usuario.
Formularios
Text
Password
Textarea
List
multilist
Datos de llamadas a procedimientos.
Links
Funciones Scripts
Actions

Datos de usuario utilizados en consultas a base de datos.

Mala construcción de consultas a bases de datos.

Riesgos

Permiten al atacante:
Saltar restricciones de acceso.
Elevación de privilegios.
Extracción de información de la Base de
Datos
Parada de SGBDR.
Ejecución de comandos en contexto
usuario bd dentro del servidor.
Tipos de Ataques
Ejemplo 1:
Autenticación de usuario contra base de
datos.
Usuario

Clave ****************

Select idusuario from tabla_usuarios

Where nombre_usuario=‘$usuario’
And clave=‘$clave’;
Tipos de Ataques
Ejemplo 1 (cont)
Usuario Administrador

Clave ‘ or ‘1’=‘1

Select idusuario from tabla_usuarios

Where nombre_usuario=‘Administrador’
And clave=‘’ or ‘1’=‘1’;
Tipos de Ataques

Ejemplo 2:
Acceso a información con procedimientos
de listado.

http://www.miweb.com/prog.asp?parametro1=hola

http://www.miweb.com/prog.asp?parametro1=1
Tipos de Ataques

Ejemplo 2 (cont):

http://www.miweb.com/prog.asp?parametro1=‘ union select

nombre, clave,1,1,1 from tabla_usuarios; otra instrucción;
xp_cmdshell(“del c:\boot.ini”); shutdown --

http://www.miweb.com/prog.asp?parametro1=-1 union select .....;

otra instrucción; --
Contramedidas
No confianza en medias de protección en cliente.

Comprobación de datos de entrada.

Construcción segura de sentencias SQL.

Fortificación de Servidor Web.

Códigos de error.
Restricción de verbos, longitudes, etc..
Filtrado de contenido HTTP en Firewall.

Fortificación de SGBD.
Restricción de privilegios de motor/usuario de acceso desde web.
Aislamiento de bases de datos.
Ataque:
Cross-Site Scripting (XSS)
Explotación del Ataque

Datos almacenados en servidor desde

cliente.

Datos van a ser visualizados por otros

cliente/usuario.

Datos no filtrados. No comprobación de

que sean dañinos al cliente que visualiza.
Riesgos

Ejecución de código en contexto de

usuario que visualiza datos.

Navegación dirigida
Webspoofing
Spyware
Robo de credenciales
Ejecución de acciones automáticas
Defacement
Tipos de Ataques

Mensajes en Foros.
Firma de libro de visitas.
Contactos a través de web.
Correo Web.

En todos ellos se envían códigos Script

dañinos.
Contramedidas

Fortificación de aplicación
Comprobación fiable de datos

Fortificación de Clientes
Ejecución de clientes en entorno menos
privilegiado.
Fortificación de navegador cliente.
MBSA.
Políticas.
Ataque:
Troyanos
“Hay un amigo en mi”
Definición

Programa que se ejecuta sobre nuestra

máquina y cuyo control no depende de
nosotros.

Los Hackers lo llaman “Boyfriend”.

Mil formas, mil colores, mil objetivos.

Obtención de Privilegios

El programa corre sobre nuestra

máquina.
Corre con una identificación de usuario
del sistema.
Debe obtener privilegios para poder
ejecutarse.
¿Cómo los obtiene?
Obtención de Privilegios

Fallo en la cadena:
Procesos:
Sistema no cerrado.
Tecnología:
Fallo en sw de sistema operativo
Fallo en sw ejecución de códigos.
Personas:
Ingeniería Social: “¡Que lindo programita!”
Navegación privilegiada
Objetivos

Control remoto:
Instalan “suites” de gestión del sistema.
Robo de información
Modificación del sistema:
Phishing
Creación de usuarios
Planificación de tareas
....
Instalación del Troyano

Se suele acompañar de “un caballo” para

tranquilizar a la víctima.
Se añaden a otro software.
EJ: Whackamole
Joiners, Binders
Incluidos en documentos que ejecutan
código:
Word, excel, swf, .class, pdf, html, etc...
Instalación del Troyano

Simulando ser otro programa

P2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll
Instaladores de otro SW
Troyanos “Comerciales”

Su difusión es extrema.
Se han hecho famosos debido a su
extensión.
Suelen ser utilizados por principiantes
Casi todos los sistemas Anti-Malware son
capaces de detectarlos.
Aún así siguen siendo útiles porque
mutan.
Algunos

Back Orifice
NetBus
NetDevil
SubSeven
Ptakks
......
Detección de Troyanos

Anti-Mallware
Antivirus
AntiSpyware
Comportamiento anómalo del sistema
Configuraciones nuevas
Cambio en páginas de navegación
Puertos
....
Prevención contra Troyanos

Defensa en Profundidad
Mínimo Privilegio Posible
Mínimo punto de exposición

Gestión de updates de seguridad

Antivirus/AntiSpyware
Ejecución controlada de programas
Navegación segura
Ataque:
RootKits
“Los Otros”
Definición

Software malintencionado que tiene total

control de la maquina infectada y es
TOTALMENTE INVISIBLE, tanto para
para los usuarios de la maquina como
para todo el software que se ejecuta en
ella.
¿Que es un RootKit?
Originalmente – Fichero Troyano con una puerta trasera
Cambia ficheros, ejmp., netstat.exe
Pueden ser detectados con herramientas tipo “Tripwire”
Hoy en día – La mayoría de los “RootKits” tienen
componentes en modo Kernel
Trastornan el TCB “Trusted Computer Based”
Ocultan cosas
Otras capacidades
Difíciles de detectar y eliminar
Premisa: El atacante lo puede instalar de manera
directa o indirecta.
Breve Historia.
A principios de los años 90s, los “RootKits”
aparecen por primera vez en el mundo Unix
Al final de los 90s, Greg Hoglund y su equipo
los introducen por primera vez en los entornos
Windows. http://www.rootkit.com
La creación y la detección de los RootKits
continua evolucionando
Modo Usuario -> Modo Kernel -> flash RAM
Nuevas técnicas en cada nivel
¿Que puede hacer?
Esconder:
A si mismo + algo que el intruso quiera.
Procesos
Ficheros y su contenido
Claves y valores del registro
Drivers en modo “Kernel”
Puertos
Sniffing – Trafico de Red, Log de pulsaciones de
teclado
Elevación de Privilegios - Modificación de los testigos
de acceso (access token)
Cualquier cosa que un driver o el Sistema Operativo
pueda hacer…
Interceptación de APIs a
nivel de Usuario
Aplicación
(Ejem., taskmgr, tlist)

PSAPI.DLL Código Malicioso

EnumProcesses “RootKit”

MODO-USUARIO
NTDLL.DLL
NtQuerySystemInformation
MODO-KERNEL

NTOSKRNL.EXE
Interceptación de APIs a
nivel del Núcleo “KERNEL”
Aplicación
(Ejem., taskmgr, tlist)

PSAPI.DLL
EnumProcesses

MODO-USUARIO
NTDLL.DLL
NtQuerySystemInformation
MODO-KERNEL

Código Malicioso
NTOSKRNL.EXE “RootKit”
Hacker Defender
Es el RootKit mas extendido en los sistemas
Windows.
Ficha:
Autores:
Holy_Father holy_father@phreaker.net
Ratter/29A ratter@atlas.cz
Version: 1.0.0
Home Page: http://rootkit.host.sk, http://
hxdef.czweb.org
Programación: Delphi
SO: NT, 2000, XP
Objetivo
Reescribir algunos segmentos de memoria en todos los
procesos que se ejecuten en una máquina para:
Esconderse a si mismo y esconder:
Ficheros
Procesos
Servicios de sistema
Drivers de sistema
Claves y valores del registro
Puertos abiertos
Engañar con el espacio libre en disco.
Enmascarar los cambios que realiza en memoria.
Instalar una puerta trasera con tecnología de “redirector”
Soporta Procesos “Root”
Configuración I
Se configura mediante un fichero INI que tiene
los siguientes campos:
[Hidden Table]: Listado de directorios ficheros y
procesos que deben ser ocultados
[Root Processes]: Procesos que no serán
infectados por el RootKit.
[Hidden Services]: Servicios que no se listarán
[Hidden RegKeys]: Claves del registro ocultas
[Hidden RegValues]: Valores del registro ocultos.
Configuración II
[Startup Run]: Ejecutables que se ejecutan cada
vez que se inicia el RootKit.
[Free Space]: Espacio que se añade a cada
disco duro.
[Hidden Ports]: Puertos abiertos que han de ser
ocultados de aplicaciones tipo OpPorts, FPort,
Active Ports, Tcp View etc…
[Settings]: 8 valores para configurar diferentes
cosas.
Detección
Lo mejor es no tener que detectarlos, pues no es
tarea fácil. Para ello hay que evitar que entren en
nuestra máquina:
Actualizar los parches del sistema
Utilizar antivirus
Utilizar firewalls
Utilizar Sistemas Operativos modernos
Si entran y somos capaces de detectarlos, la
única solución fiable es formatear.
Detección
Lo mas fácil es detectarlo antes de que se instale. (Antivirus,
antispyware, etc…)
Si ya esta instalado se puede detectar de tres maneras:
Casualidad.
Cuelgues de la máquina
Software AntiRootKit
Tripwire.
http://www.tripwire.com/products/technology/index.cfm
RootkitRevealer de Sysinternals
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
Blacklight de F-Secure
http://www.f-secure.com/blacklight/try.shtml

Las principales estrategias para poder detectarlos son:

Detectar la presencia del propio RootKit.
Detectar los recursos que esconden. Hacer de su virtud, su principal
debilidad.
Técnicas de Detección
En Modo - Usuario:
Puenteando las intercepciones a las llamadas de la API
(escribiendo tus propias API)
Detectarlos en modo “Kernel”
En modo – Kernel
Examinar directamente la estructura de datos en modo
Kernel sin hacer llamadas a las APIs
Verificación de “KiServiceTable”
Verificación de las firmas de las funciones que están en
memoria.

Ambos se pueden detectar.

Herramientas de Debugging:
http://www.microsoft.com/whdc/devtools/debugging/
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
Futuro - Presente

Rootkits de BIOS programados con ACPI

presentados en BlackHat Conference
Enero 2006
Rootkits de BBDD presentados en
Microsoft BlueHat Conference 2006
Rootkits VM presentados por Microsoft
Research y Universidad Michigan Marzo
2006.
Actualizaciones de
Seguridad
Terminología y Consideraciones
acerca de las actualizaciones de
Seguridad

Timpacto
Triesgo
Herramientas de
Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0.
Zero Day Server es aquel que tiene todo el software
que corre en su sistema actualizado y no tiene
ningún bug conocido.
Es el máximo nivel de seguridad que se puede
alcanzar con el software que corre en un sistema.
Existen Zero Day Exploits
Auditorias de seguridad
No son las únicas que deben hacerse
Se deben realizar de forma automática y de forma
manual [“artesana”].
Con la visión de un atacante y con la visión del
administrador.
Auditoría Caja Negra
Se realiza desde fuera
Ofrece la visión de un hacker
No puede ser ejecutada desde dentro 
Falsos positivos
No garantiza “Servidor Seguro”
No todos los escáner ofrecen los mismos
resultados.
SSS, Nessus, GFI Languard, Retina, ISS
Real Secure, etc …
Scanners de Vulnerabilidades
Satan, Saint, Sara

Shadow Security Scanner

http://www.safety-lab.com

GFI Languard Network Security Scanner

http:///www.gfihispana.com

Retina
http://www.eeye.com

Nessus
http://www.nessus.org

NetBrute, R3X
Auditoría Caja Blanca

Se realiza internamente

Con privilegios y visualización completa del

sistema

Se utilizan herramientas proporcionadas por el

fabricante o propias
MBSA
EXBPA
MOM 2005
….
Actualizaciones en Microsoft

Security Patch
Critical Update
Update
Hotfix
Update Roll-Up
Service Pack
Niveles de Severidad
Rating Definition
Exploitation could allow the propagation of an Internet
Critical
worm such as Code Red or Nimda without user action
Exploitation could result in compromise of the
Important confidentiality, integrity, or availability of users’ data or
of the integrity or availability of processing resources
Exploitation serious but mitigated to a significant
degree by factors such as default configuration,
Moderate
auditing, need for user action, or difficulty of
exploitation

Low Exploitation is extremely difficult, or impact is minimal

TechNet Security Bulletin Search:

http://www.microsoft.com/technet/security/current.asp
Gestión de Actualizaciones
MBSA
Ayuda a identificar sistemas Windows
vulnerables.
Escanea buscando actualizaciones no aplicadas y
fallos en la configuración del software.
Escanea distintas versiones de Windows y distintas
aplicaciones.
Escanea en local o múltiples máquinas en remoto
vía GUI o línea de comandos.
Genera informes XML sobre los resultados de cada
equipo.
Corre en Windows Server 2003, Windows 2000
y Windows XP
Se integra con SMS 2003 SP1, con SUS y
WSUS
MBSA
EXBPA
Examina un despliegue de Exchange
Server y determina si esta configurado
siguiendo las recomendaciones de
Microsoft.
Genera una lista de puntos, como
configuraciones mejorables, u opciones no
recomendadas o soportadas.
Juzga la salud general del sistema.
Ayuda a resolver los problemas encontrados.
Busca también Actualizaciones de
Seguridad que falten.
EXBPA
Herramientas para la Gestión de
Actualizaciones
Usuario Final y Pequeña Empresa:
Microsoft Update

Pequeña y Mediana Empresa:

Windows Software Update Services

Mediana Empresa y Corporaciones:

SMS and the SMS Software Update
Services Feature Pack
 Productos de Terceros
Compañía
Altiris, Inc.
BigFix, Inc.
Configuresoft, Inc.
Ecora, Inc.
GFI Software, Ltd.
Gravity Storm Software, LLC
LANDesk Software, Ltd
Novadigm, Inc.
PatchLink Corp.
Shavlik Technologies
St. Bernard Software
Producto URL
Altiris Patch Management http://www.altiris.com
BigFix Patch Manager http://www.bigfix.com
Security Update Manager http://www.configuresoft.com
Ecora Patch Manager http://www.ecora.com
GFI LANguard Network Security Scanner http://www.gfi.com
Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Patch Manager http://www.landesk.com
Radia Patch Manager http://www.novadigm.com
PatchLink Update http://www.patchlink.com
HFNetChk Pro http://www.shavlik.com
UpdateExpert http://www.stbernard.com
Fortificación de Servidores
Fortificación
Consiste en la aplicación de tres principios:
Defensa en Profundidad (DP):
Máximo número de medidas de protección que se puedan
aplicar siempre que:
Una medida no anule a otra
No haya deterioro en la disponibilidad del sistema
Mínimo Punto de Exposición (MPE):
Un servidor solo ejecutar aquello que es estrictamente
necesario para su rol
Mínimo Privilegio Posible (MPP):
Cada componente del sistema se ejecuta con el menor de
los privilegios necesarios.
Se puede automatizar en función del rol
Plantillas de seguridad
Definen los valores necesarios para las directivas de
seguridad de los servidores en función de su rol y su entorno.
Se pueden aplicar de forma local o a través del dominio.
Afectan a los siguientes componentes:

•Cuentas de usuario. •Grupos restringidos.

•Auditorías. •Servicios.
•Derechos de usuarios. •Claves de registro.
•Opciones de seguridad. •Sistema de ficheros.
Guía de Seguridad
•Visor de sucesos.en Windows Server 2003
Herramientas
Análisis y configuración
Resultante de políticas.
Sistema complementario de los
anteriores que evalúa no solo
plantillas de seguridad sino GPO.
Presenta dos herramientas:
RSoP. Herramienta gráfica.
GPRESULT. Línea de Comando.
GPMC
Seguridad en Servidores:
Windows 2003 SP1
Mejoras en la seguridad del Sistema
Post Setup Security Updates

 Protección del Servidor durante el periodo en el

que se instala el Servidor y la instalación de las
últimas actualizaciones.
 Windows Firewall esta activado por defecto si

explícitamente no se configura de otra manera

durante la instalación.
Mejoras en la Seguridad del Sistema
Post Setup Security Updates
Mejoras en la Seguridad del Sistema

Post Setup Security Updates

 Se invoca después de:
 Actualización de Windows NT4 a Windows Server
2003 SP1
 Instalación combinada de Windows Server 2003 y SP1

 NO invocada después de:

 Actualización desde Windows 2000 a Windows Server
2003 SP1
 Actualización desde Windows Server 2003 a SP1
Mejoras en la Seguridad del
Sistema Data Execution Prevention
 Se configura en el Boot.ini
 /noexecute=PolicyLevel
 OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran específicamente.
 OptOut – Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de
excepciones.
 AlwaysOn – El Software DEP y el Hardware DEP siempre están
habilitadas. Cualquier excepción es ignorada.
 AlwaysOff – El Software DEP y el Hardware DEP están
deshabilitadas.
Mejoras en la Seguridad del Sistema

Security Configuration Wizard

 Identifica puertos abiertos
 El asistente se debe de ejecutar con las aplicaciones
requeridas y los servicios arrancados.
 Selecciona el role del servidor de la base de datos de
configuración.
 Configura los servicios requeridos.

 Configura los puertos para el Firewall de Windows

 Configura la seguridad para LDAP y SMB

 Configura una política de auditoria

 Configura los parámetros específicos de los roles que

tiene el servidor.
Mejoras en la Seguridad del Sistema

Security Configuration Wizard

 La configuración se salva en un fichero XML.
 Se aplica por el asistente

 Se puede aplicar una política de seguridad

existente a otro equipo.
 Se puede aplicar desde la línea de comando.
 scwcmd.exe configure /p:webserverpolicy.xml
 Se puede usar en scripts
 Sripts de instalación desatendida
Security Configuration Wizard
Seguridad en Clientes
Bests Practices

Fortificación estación de Trabajo

Windows XP Service Pack 2
Guía de fortificación de estaciones de
Windows XP (
http://www.microsoft.com/spain/technet)
Utilización de Firewall
Navegación restringida
Uso de Antivirus/Antispyware
Formación del usuario
Malicious Software Removal
Tool
Objetivos
Reducir el Impacto del malware en usuarios
Windows
Entender las tendencias del malware
Distribución
Windows Update
Centro de Descargas
Sitio Web
Reporte disponible públicamente
Actividad de MSRT

2.7 billones de
ejecuciones
270 millones de equipos
Resultados MSRT

16 millones de infecciones
5.7 millones de equipos infectados
1 infección cada 311
Reducción del Impacto
Entender las tendencias

Troyanos de puerta trasera son la amenaza

mas significante y mas creciente
Los Rootkits son una amenaza emergente
Ingeniería Social 35%
Como ayuda Vista
Contra el Malware..
Prevención
Aislamiento
Remedios
Prevención
Amenaza Tecnología en Vista

Vulnerabilidad de Software •Ciclo de desarrollo seguro

•Actualizaciones Automáticas
•Windows Firewall/IPSec
•Data Execution Protection
•Address Space Layout Randomization

Ingeniería Social •User Account Control

•Windows Defender

Vulnerabilidad de la Política •Contraseña de Administrador en Blanco

•Firma de drivers en 64 bit
•Política de Firewall por Red
Aislamiento
Amenaza Tecnología en Vista

Comportamiento del Sistema Integridad de Sistemas de 64-bit

Recursos del Sistema Fortificación de Servicios

Firewall Bidireccional
IE Protected Mode

Configuración del Sistema User Account Control

Windows Defender
Remedios
Amenaza Tecnología en Vista

Estado de la Seguridad Centro de Seguridad de Windows

Limpieza de Spyware Windows Defender

Limpieza de Virus Windows Malicious Software Removal Tool

Mejoras en la Seguridad del Sistema

Data Execution Prevention

• Forzada por el hardware y el software
• Hardware DEP
• Requiere que el procesador lo soporte o implemente
• ElEjecutable
procesador marca áreas de la memoria como No
excepto si específicamente contiene código
ejecutable.
• Puede causar problemas de compatibilidad.
• Software DEP
• Funcionalidad en cualquier procesador que soporte
Windows Server 2003
• Protege los binarios del sistema de ataques relacionados
con el manejo de las excepciones del sistema.
• Es raro que cause problemas de compatibilidad.
Protección de la Memoria
Data Execution Protection
Address Space Layout Randomization
Stack Code
DEP
Locals ASLR
Windows Code
Return LoadLibrary()
Address
Parameters

Library Code
Previous
Frames
Application Code
Integridad de Sistemas de 64
bit
Application
CreateFile() Interrupt Dispatch Table
Global Descriptor Table
Kernel32.dll System Service Dispatch
CreateFileW()
Table

ntdll.dll
ZwCreateFile()

Interrupt Dispatch System Service Dispatch

Table Table

NtCreateFile()
2E
Cambio fundamental en la
operativa de Windows
Hace que el sistema funcione bien como un usuario
estándar
Proporciona un método seguro para ejecutar aplicaciones
en un contexto elevado
Requiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar
compatibilidad.
Escrituras en el registro de la maquina son redirigidas a
localizaciones de usuario si el usuario no tiene privilegios
administrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones
que necesitan cuentas de administración de manera segura.
Protección de cuentas Usuario
UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio
de dos maneras distintas:
1. El usuario no necesita tener privilegios administrativos para
realizar ciertas tareas para las que se necesitas esos privilegios
– En cambio:
Se le pregunta al usuario por credenciales con mas privilegios
2. Aunque el usuario tenga privilegios superiores( Ejem. un
administrador), se le pregunta al usuario por su consentimiento
antes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se
necesita el consentimiento
Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x
Internet Explorer 7
Además de ser compatible con UAC, incluirá:
Modo Protegido que solo permite a IE navegar sin mas
permisos, aunque el usuario los tenga. Ejem. Instalar
software
Modo de “Solo-lectura”, excepto para los ficheros temporales de
Internet cuando el navegador esta en Zona de seguridad de
Internet
Filtro contra Phising que actualiza Microsoft cada poco
tiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles
Activex
Todos los datos de cache se eliminan con un solo click
MIC & UIPI
Mandatory Integrity Control (MIC).
Una aplicación no puede acceder a datos que tengan un Nivel
de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se
les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su
testigo de acceso
User Interfacer Privilege Isolation (UIPI)
Bloquea el acceso de procesos con Nivel de Integridad inferior
a procesos con Nivel de Integridad superior.
Filtro anti-Phishing
Protección dinámica contra Webs
Realiza 3 chequeos para proteger al usuario de
Fraudulentas
posibles timos:
1. Compara el Sitio Web con la lista local de sitios legítimos conocidos

2. Escanea el sitio Web para conseguir características comunes a los

sitios con Phising

3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios
reportados que se actualiza varias veces cada hora
Dos niveles de Aviso y protección en la barra de
Level 1: Warn
estado de IE7 Level 2: Block
Suspicious Website Confirmed Phishing Site
Signaled Signaled and Blocked
Windows Defender
Monitorización
Detección
Limpieza
Software Explorer
SpyNet
10 Immutable Laws of Security
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp
If an attacker can persuade you to run his program on your computer, it's not your
1 computer anymore.
If an attacker can alter the operating system on your computer, it's not your
2 computer anymore.
If an attacker has unrestricted physical access to your computer, it's not your
3 computer anymore.
If you allow an attacker to upload programs to your website, it's not your website
4 anymore.
5 Weak passwords prevail over strong security.
6 A machine is only as secure as the administrator is trustworthy.

7 Encrypted data is only as secure as the decryption key.

8 An out-of-date virus scanner is only marginally better than no virus scanner at all.

9 Absolute anonymity isn't practical, in real life or on the Web.

10 Technology is not a panacea.

¿ Preguntas ?
Web MVPs
TechNews
Suscripción gratuita enviando un mail:
mailto:technews@informatica64.com
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene
un escenario virtualizado para ejecución de laboratorios. Un
técnico por grupo imparte explicaciones teóricas y plantea y
resuelve las practicas con los asistentes al mismo tiempo que
resuelve dudas. 6 horas de duración cada uno y 24 horas los
seminarios de Contramedidas Hacker.

Sistemas http://www.microsoft.com/spain/HOLsistemas
Desarrollo http://www.microsoft.com/spain/HOLdesarrollo
Contacto
Chema Alonso
chema@informatica64.com
http://www.elladodelmal.com
http://www.vista-tecnica.com
http://www.informatica64.com/retohac
king