Tendencias de la Tecnología en Seguridad Informática Victor H. Montero
[email protected]
12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - ARGENTINA
Tendencias de la Tecnología en Seguridad Informática © 2007
Agenda Problemáticas actuales Normativas PCI Norma BCRA A4609 Protección de datos personales Tendencia del uso de Penetration Tests Mercado negro de vulnerabilidades y cybercrimen Complejidad creciente de Troyanos Amenazas hacia clientes y ataques dirigidos Seguridad en dispositivos móviles Incremento en el manejo de incidentes 2
Tendencias de la Tecnología en Seguridad Informática © 2007
Problemáticas actuales Programas de Concientización no realizados a conciencia… Dentro del SDLC, existe una clara dificultad en la inserción de aspectos de seguridad en las distintas etapas. Falta de madurez en herramientas de patch management. Bombardeo de regulaciones y normativas. Volúmenes de información altamente complejos de manejar, segmentar y clasificar. Nuevas y más poderosas herramientas de ataque disponibles públicamente. Compañías de antivirus admiten públicamente que la situación de los virus es incontrolable 3
Tendencias de la Tecnología en Seguridad Informática © 2007
Normativas PCI (Payment Card Industry) PCI-SSC (Payment Card Industry - Security Standards Council) Principales Miembros: VISA MASTERCARD AMERICAN EXPRESS
DINERS DISCOVER CARD JCB
Objetivo: Concentrar esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago Tiempo hasta fines de 2007 para certificar PCI Compliance en Latinoamérica. 4
Tendencias de la Tecnología en Seguridad Informática © 2007
Normativas PCI (Payment Card Industry) PCI-DSS (Payment Card Industry - Data Security Standard) 12 requerimientos básicos, separados en 6 categorías El cumplimiento no suele ser fácil, pese a los controles compensatorios. Necesidad de realizar cambios a nivel infraestructura tecnológica, arquitectura y lógica de aplicaciones, y adecuación a PCI de normas, políticas y procedimientos internos de cada compañía Aparición (y adaptación marketinera) de herramientas que ayudan a determinar el nivel de compatibilidad en algunos de los 12 requerimientos 5
Tendencias de la Tecnología en Seguridad Informática © 2007
Norma BCRA A4609 La comunicación A4609 releva a su predecesora A3198 del año 2000. Afecta a entidades financieras únicamente Influenciada fuertemente por normas, prácticas y leyes internacionales: - Information Security Governance - Information Technology Governance - ISO 17799: 2005 - Sarbanes Oxley Act (SOX) - Basilea II 6
Tendencias de la Tecnología en Seguridad Informática © 2007
Norma BCRA A4609 (Muchos) Nuevos lineamientos, mayor nivel de detalle Involucra y responsabiliza a las más altas autoridades de la Organización Fuerte influencia de las buenas prácticas internacionales de seguridad de la información Gestión de la seguridad en base a riesgo Segregación de funciones Posicionamiento organizacional de la protección de activos informáticos 7
Tendencias de la Tecnología en Seguridad Informática © 2007
Protección de datos personales (Ley de Habeas Data) Objetivo: “Protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios ténicos de tratamiento de datos, púlicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre” Registro Nacional de Bases de Datos Privadas - Habilitado el 1º de Agosto de 2005 - Plazo original de vencimiento de la obligación de inscribir las bases de datos privadas: 31 de Enero de 2006; extendido luego hasta 31 de Marzo de 2006 8
Tendencias de la Tecnología en Seguridad Informática © 2007
Protección de datos personales (Ley de Habeas Data) Sanciones Administrativas - Apercibimientos - Suspenciones - Multas de $1000 a $100000 - Clausura o cancelación del archivo, registro o base de datos Sanciones penales - Prisión de 1 mes a casi 5 años, dependiendo la gravedad y carácterísticas del caso - Inhabilitacion de 1 a 4 años para el caso de los funcionarios públicos
9
Tendencias de la Tecnología en Seguridad Informática © 2007
Tendencia del uso de Penetration Tests Los proyectos de Penetration Tests no han variado únicamente su metodología, como hemos visto. Desde el año 1995, y hasta el año 2003, el mercado argentino solicitaba este tipo de proyectos principalmente para encontrar los riesgos tecnológicos existentes en las plataformas: - Servicios vulnerables - Usuarios por defecto o con contraseñas débiles - Vectores de escalamiento de privilegios - Etc… Este enfoque, permitía a las áreas de sistemas tener una visión objetiva del riesgo de su infraestructura desde el punto de vista tecnológico únicamente.
10
Tendencias de la Tecnología en Seguridad Informática © 2007
Tendencia del uso de Penetration Tests A principios/mediados del año 2004, comenzó a notarse una solicitud mayor por detectar los riesgos funcionales y del negocio, lo que equivaldría a darle semántica a los detalles netamente técnicos de los resultados de los Penetration Tests, una semántica que sea entendible por las altas jerarquías de una organización. Las Áreas de Sistemas y Seguridad Informática se vieron beneficiadas con este nuevo enfoque, debido a que facilitó, en muchos casos, la justificación sobre la necesidad de inversiones en medidas de seguridad. Como beneficio adicional, esta modalidad de Penetration Test ha permitido “amigar” distintas áreas de las organizaciones, dado que habla un idioma común, el de los riesgos del negocio como un todo.
11
Tendencias de la Tecnología en Seguridad Informática © 2007
Mercado negro de vulnerabilidades y cybercrimen La venta de exploits y detalles de vulnerabilidades no es algo nuevo, pero aumentó exponencialmente en los últimos años Los principales financistas de este mercado fueron y son, en general, grupos terroristas, spammers y agencias de inteligencia internacionales Principal problema: los detalles de las vulnerabilidades descubiertas y vendidas en este mercado difícilmente llegan a manos del fabricante del software afectado, por lo que todos los usuarios de dicho software son susceptibles de ser atacados exitosamente mientras nadie reporte la vulnerabilidad. Empresas de antivirus, IDSs e IPSs tampoco pueden defender a sus clientes de ataques y vulnerabilidades desconocidas, salvo mediante técnicas heurísticas 12
Tendencias de la Tecnología en Seguridad Informática © 2007
Mercado negro de vulnerabilidades y cybercrimen Solución: Si no puedes contra ellos, úneteles!… O mejor aún, cómpralos! Surgen programas como Zero Day Initiative (TippingPoint), Quarterly Vulnerability Challenge (iDefense), Exploit Acquisition Program (Snosoft), donde se paga a quienes colaboran en la búsqueda de vulnerabilidades Microsoft, por su parte, participa y sponsorea eventos de seguridad mundialmente reconocidos, y dio origen al Blue Hat Summit, como estrategia para “amigarse” con la comunidad de seguridad que tantas fallas de seguridad ha encontrado en sus productos.
Todo tiene un precio. Cuanto vale tu… exploit?
13
Tendencias de la Tecnología en Seguridad Informática © 2007
Complejidad creciente de troyanos Cada vez más se advierte que los troyanos están tomando un papel preponderante en el cybercrimen Robo de información, extorsión (encriptación de información), control remoto de sistemas, son sólo algunas de las funcionalidades que estos programas son capaces de ofrecerle a sus usuarios. Como “beneficio” adicional, los troyanos de hoy día están mejor preparados para ocultarse. Implementan métodos de empaquetamiento y encriptación que minimizan la eficacia de los antivirus, IDSs e IPSs en su tarea de protección. Estas características se suman a la tendencia de generar epidemias localizadas de gran escala y en corto tiempo
14
Tendencias de la Tecnología en Seguridad Informática © 2007
Amenazas hacia clientes y ataques dirigidos Objetivo original: original Causar daño, o ganar prestigio en la comunidad del underground. Objetivo actual: actual Sencillamente, ganar dinero La protección de los sistemas adquirió una relativa madurez en lo tecnológico, pero todavía no se ha podido superar la barrera del error humano en el manejo de los sistemas. En general, es más probable dar con un usuario imprudente o no conciente de los peligros informáticos que con un administrador de sistemas con estas características, por lo que el foco de los ataques ha ido cambiando de servidores y mainframes a clientes y usuarios de estos sistemas.
15
Tendencias de la Tecnología en Seguridad Informática © 2007
Amenazas hacia clientes y ataques dirigidos Teniendo como foco al cliente, nuevamente se puede percibir una evolución en los ataques, de lo masivo a lo dirigido Aquí es donde también entra en juego el tema de venta de exploits Cuando una vulnerabilidad no reportada es explotada por un worm o virus masivamente, inmediatamente se disparan los procedimientos de identificación, generación de vacuna, y bajada de actualización a los distintos antivirus existentes Cuando en cambio, una vulnerabilidad no reportada es explotada en un número reducido (dirigido) de sistemas, la probabilidad de que el ataque sea descubierto es mínima. 16
Tendencias de la Tecnología en Seguridad Informática © 2007
Amenazas hacia clientes y ataques dirigidos El tipo de ataque que se efectúe depende del objetivo al que se quiere llegar: Ataques masivos
Ataques Dirigidos
•Robo de datos de tarjetas de crédito •Obtención de cuentas de mail •Ataques de phishing •Obtención de contraseñas de Home Banking •Obtención de contraseñas de sitios como Paypal + eBay
•Robo de información estratégica •Espionaje industrial •Robo de credenciales de acceso a otros sistemas •Ataques de phishing avanzados
17
Tendencias de la Tecnología en Seguridad Informática © 2007
Seguridad en dispositivos móviles Más de 2.000.000.000 de teléfonos celulares activos en el mundo. En 3 años, la cantidad de malware para dispositivos móviles aumentó de 1 a más de 350, un crecimiento equivalente en comparación al de los virus de PC. Varias vías de propagación -
Bluetooth SMS Memory Cards Programas descargables EMails
-
WLAN MMS P2P IM 18
Tendencias de la Tecnología en Seguridad Informática © 2007
Seguridad en dispositivos móviles En la actualidad, algunos bancos ya están dando servicio de Home Banking por celular. Se espera que en un futuro cercano, los dispositivos móviles reemplacen a las PC en muchas funcionalidades Algunos fabricantes están trabajando en el desarrollo de “billeteras móviles”, una idea que tiene más de 10 años, pero que la tecnología actual permitiría implementar La posibilidad de ataques todavía dista mucho de haber sido explotada al máximo. La mayoría de los ataques de hoy en día se basan principalmente en la utilización de ingeniería social. 19
Tendencias de la Tecnología en Seguridad Informática © 2007
Seguridad en dispositivos móviles Algunos de los ataques que ya se han visto: - Viruses - Worms
- Troyanos - Herramientas espías
Ataques por venir: - Rootkits - Gusanos que no necesiten interacción del usuario para diseminarse - Botnets móviles - Malware de gran escala orientado obtener ganancias Ya se están desarrollando antivirus y firewalls para celulares!!!
20
Tendencias de la Tecnología en Seguridad Informática © 2007
Seguridad en dispositivos móviles Ahora, con estos datos, pensemos un poco cómo se mezcla esto con los tres temas que analizamos previamente:
Mercado negro de vulnerabilidades
+ Troyanos avanzados
+ Ataques dirigidos a clientes (usuarios finales)
+ Dispositivos móviles que manejan dinero 21
Tendencias de la Tecnología en Seguridad Informática © 2007
Seguridad en dispositivos móviles
Y si mejor volvemos al zapatófono?
22
Tendencias de la Tecnología en Seguridad Informática © 2007
Incremento en el manejo de incidentes 2006 y 2007 fueron dos años en los que se incrementó notoriamente el manejo de incidentes Casos de Phishing a bancos locales, extorsiones vía e-mail, fuga de información, sabotajes, denegaciones de servicio masivas… Estamos cada vez más sumergidos en un mundo donde la amenaza sobre nuestros sistemas de información es cada vez más grande, y Argentina no escapa a esta realidad La buena noticia, es que también estamos cada vez más preparados. Los casos en los que Cybsec participó, permitieron verificar también que los técnicos y especialistas en las empresas y organismos afectados están, en general, más concientes de los ataques a los que son susceptibles
23
Tendencias de la Tecnología en Seguridad Informática © 2007
Conclusiones Hemos visto como distintos frentes políticos, tecnológicos y sociales están unificando esfuerzos con el objetivo común de hacer frente a las numerosas amenazas que se presentan en estos tiempos. También pudimos dar un vistazo a los problemas que acarrea la adaptación de la tecnología a este mundo cada vez más dinámico, donde la movilidad e independencia del lugar toma completa importancia en la vida cotidiana de los seres humanos. Sin embargo, somos concientes de que se está tomando un nivel de madurez que nos permitirá, a futuro, aplicar las estrategias adecuadas para minimizar los riesgos que nos presentarán estas nuevas amenazas. En Cybsec, día a día, nos actualizamos y preparamos para ser 24 sus aliados en seguridad de la información.
Tendencias de la Tecnología en Seguridad Informática © 2007
Preguntas?
25