Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Introducción a seguridad (Perspectiva de un programador junior)

Introducción a los conceptos de seguridad en S.O. y Aplicaciones, concepto de programación segura. (Publico objetivo: Estudiantes que ya cursaron cursos de programación y de administración de sistemas pero aun están en primeros semestres).
by

Raul Fuentes

on 22 April 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Introducción a seguridad (Perspectiva de un programador junior)

Introducción Perspectiva desarrollador Desarrollo de aplicaciones Seguridad Nuestros equipos
(Su Sistema Operativo, antivirus) La infraestructura donde están nuestros equipos (Internet) El diseño de las aplicaciones Seguridad tiene muchos aspectos Entorno y su seguridad Amenaza VULNERABILIDAD RIESGO La amenaza es todo aquello que nos pueda afectar negativamente en nuestro entorno. En este caso la amenaza consiste en
el riesgo de inundamiento y el ahogo
de la persona del otro lado de la presa. Las grietas en la presa es una vulnerabilidad. Si el agua alcanza la grieta
la amenaza se vuelve
explotada (exploit)
ya que la inundación
tomara lugar. Si alguien intencionalmente dañara la presa se tratará de un ataque intencional. Si lluvias atípicas incrementaran el nivel de agua se llevaría acabo una explotación no intencional En ambos casos se exploto la vulnerabilidad ("Exploit") Autor: Ing. Raúl Fuentes ( RFuentesS ) Seguridad Informática "La seguridad es tan fuerte como el eslabón mas débil" Hardware Software Datos (cc) photo by medhead on Flickr Componentes claves 79% de los desarrolladores no manejan ningun esquema de seguridad. 51% desarrolladores consideran no estar entrenados para detectar y/o corregir fallas. SDLC Software
Develovpment
Life Cycles 54% de desarrolladores consideran que reparar bugs y/o parchar aplicaciones es un desperdicio de tiempo y recursos para la compañía. 47% de desarrolladores afirman que no existen un mandato formal y activo para remediar código vulnerable de las aplicaciones. 30% de los desarrolladores
implementan la seguridad una
vez liberada la aplicación. 51% de los desarrolladores no tienen entrenamiento en seguridad de aplicaciones. Las aplicaciones móviles tienen un panorama mas macabro. Encuesta realizada a 14 mil desarrolladores de software de empresas exitosas nivel mundial. SANS 25 errores de software mas comunes .org Uno de los trabajos de la organización SANS.org es manejar un informe de los errores mas comunes de programación que pueden resultar en vulnerabilidades en las aplicaciones. Se recomienda auditar sus prácticas con ellas antes de pasarse a una nueva parte de sus proyectos. Dicha lista se actualiza anualmente y se encuentra divida en 3 grandes áreas. Interacción entre componentes de forma
insegura. Manejo de recursos de forma riesgosa Defensas porosas Neutralización incorrecta de elementos especiales utilizados en un comando SQL (AKA: SQL Injection). Neutralización incorrecta de elementos especiales utilizados en un comando del S.O. (AKA: OS Command Injection). Neutralización incorrecta de entradas durante la generación de una pagina web. (AKA: Cross-site scripting). Subida de archivos peligrosos sin restricciones. Cross-Site Request Forgery (CSRF) URL Redirection to Untrusted Site ('Open Redirect') [1] [2] [4] [9] [12] [22] Copia de buffers sin revisar el tamaño de la entrada ("el clasico Buffer Overflow ") Limitaciones incorrectas a un Pathname hacia un directorio restringido ("Path Traversal") Descarga de código sin revisión de integridad. Inclusión de funcionalidad de esferas de control no confiables. Uso de funciones potencialmente peligrosas. Cálculos de tamaño de buffers incorrectos. String con formato sin control. Overflow de enteros o Wraparound. [3] [13] [14] [16] [18] [20] [23] [24] Listado del Top25 2012 Autenticación perdida (nula) para funciones criticas. Autorización perdida (No Validar autorización). Uso de credenciales "Hard-Coded". Datos sensitivos sin encriptación. Utilización de entradas no confiables como decisiones de seguridad. Asignaciones de permisos incorrectas para recursos críticos. Uso de algoritmos criptográficos "rotos" o inseguros. Uso de Hash "one-way" sin Sal [5] [6] [7] [8] [10] [11] [15] Ejecución de privilegios innecesarios. Autorizaciones incorrectas. [17] [19] OVERFLOW SQL Injection ¡Combo! Cross-Site Attack Red social mexicana, completamente comprometida en las primeras 12 hrs de abertura. Ejemplos de fallas de diseño en Software México recientemente añadió la ley "Protección de Datos Personales" Hoy en día esta en la boca de todos los tramites de visas, tus tarjetas de credito, etc.. Tus compras, tus "mensajes", Los medios y las categorías ( TCP/IP & Malware ) Muchos al hablar de "seguridad" solo ven esto... Hardware & Software MITOS "Instala Linux y olvídate de los problemas" "Compra una MAC y no hay virus" Sistemas Operativos "Mi PC/datos no les interesa a nadie" "Antivirus actualizado, no corro riesgo" "Firewall implementado..." "S.O. actualizado, no corro riesgo" "Los atacantes es gente sin nada que hacer" "Mi PC corre bien... ¡No tengo virus o cosas parecidas! "Tengo cuidado de donde navego... ¡no hay riesgo!" "ES imposible realizar una compra segura en la red" "Son pocos los que realmente saben como hacerle" En español: Curiosidad: En varias ocasiones "los atacantes" son víctimas de sus propias "herramientas" Exploits == Dinero y Aplicaciones El S.O. "MAS SEGURO" Mayor mercado, mayor interés de ser atacado. Todos son potenciales vulnerabilidades de alto riesgo en el desarrollo de aplicaciones. Malware en Móviles Evolución del Malware Nuevo mercado == +Malware Viejos datos... Una vulnerabilidad en estas capas por lo general aplica para todos los Sistemas Operativos de cualquier dispositivo. Malware Trojanos Backdoor Virus Boot Program Multipartite Remote acces Password Sending Keyloggers Escalar privilegios Ejecucción remota de comandos. Control remoto de la GUI Cada capa un lugar de experiencias y riesgos Destructivos DoS Mail-Bomb Solo una muestra (2011) Software detection killers Stealth Polymorficos Macro Worms Instant Messages Internet File-Sharing E-mail Lentamente la división se vuelve invisible (e innecesaria) y todos hacen un poco de todos... Botnets Controlar las botnets pueder ser mediante distintas herramientas, incluyendo mensajes SMS o Twitter Al igual que con Exploits, la venta de "espacios" de una red Botnet es muy "gratificante" Algunos "beneficios" es poder usar las credenciales de otros (o sus cuentas bancarias) o su poder de computo. La trata de personas y pedofilia están cada vez usando mas las botnets como medio de comunicación. Una forma tipica de infección es el uso de software descargado ilegalmente, ya que al software se le embebe malware. Los botnets no son solo cosa de "PC". Se conocen botnets para Android (#RootSmart) y Mac OSx (Flashback) Auditorias (Defensas) El material gráfico fue tomado de distintos sitios de la Web.
El material bibliográfico es un compendio corto de apuntes didácticos y notas de blogs de seguridad, principalmente: http://blog.segu-info.com.ar/ Hacking Nivel de expertises para hacer daño Stuxnet iWiks Desvío de tráfico mundial(2010) Robo de certificados
SSL (2011) Revisión de escaneo Enumeración huellas Borrado de
huellas Penetración Acceso Pasos de un Hackeo
ético Herramientas (Algunas) Reporte [25] Una gran cantidad de desarrolladores asumen (erróneamente) que el SDLC no incluye fases de seguridad ¡ATAQUES! Registros Aplicación Sistema Operativo DATOS
Usuario Aplicación Aplicación HARDWARE Kernel S.O. Realidad de S.O. Modernos 1.7 GB Ing. Social Flame (2012) 5 de Julio, 2010 ¿Que se protege? Típico ejemplo... Una falla en el sistema 2012 ISACA.org ¿ Los habrán hallado primero los "chicos buenos"? Y hoy en día... Junio 2011 Modelo obsoleto Ping de la muerte Poisoning Robo cuentas
Apple/Amazon En si Flame no innova ni crea nuevos tipos de ataques sin embargo UTILIZA una gran cantidad de ataque conocidos y elementos que solo estaban en un marco teórico Krebs on security Algunos usos de una PC afectada Programador junior This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-sa/3.0/. Este trabajo está licenciado bajo Creative Commons Attribution-Share
Alike 3.0 Unported Unported. Para ver una copia de esta licencia, visita: http://creativecommons.org/licenses/by-sa/3.0/. Por mucho tiempo se considero que todo lo relacionado a este punto era "seguridad informática" De hecho, hablar de este tema de forma "introductoria" ocuparía tanto espacio como esta misma presentación Sus elementos claves son: C onfidentiality (Confidencialidad) ntegrity (Integridad) valiability (Disponibilidad) I A This is Un "sys admin" tradicional inicia con el manejo del equipo en redes. Aunque esto esta cambiando gracias a la nube. Denial of Services (Solicitudes en servidores Web) Lo contrario también aplica, una vulnerabilidad en estas capas puede impactar de forma distinta en diferentes Sistemas Operativos. Spoofing Zombies Ataque de los pitufos RSA DES/AES Recuerden que el eslabón mas débil es por donde te van a golpear... SECURITY! "Solo se requiere la intención" En el 2012 se encontraron dos fallas criticas en el paquete SUDO cuyos exploit permitían acceder a Root. Una proveniente de del 2006 otro desde su implementación original. Versiones de kernel de Linux 3.3 a 3.8 ( Mayo 2012- Febrero 2013) poseía un exploit basado en "buffer overflow" que igual permitía obtener control del S.O. Los "chicos malos" lo publicaron por error en un foro público (2012) Hoy en día una maquina o un dispositivo periferico puede ser un objetivo "de paso" para llegar a otro. (2012) México ES EL NO.1 mundial en producir pedofilia (Marzo, 2013) Carna (Marzo, 2013) 9 TB de datos (online mediante torrents).
Internet Census 2012 (100% ilegal)
1,3000 millones de direcciones en uso fueron halladas y analizadas. http://census2012.sourceforge.net/paper.html Red October
(2007-2013)
Full transcript