Hackers en los sistemas de las administraciones públicas: cómo

y para qué

Florencio Cano GabardaResponsable de seguridad online de ISACA Valencia

CISA, 27001 Lead Auditor, CEH, perito judicial informático

ACTUALIDAD Los ataques contra todo tipo de organizaciones se han

multiplicado Especialmente las AAPP tienen que defenderse de los

ataques de los denominados “hacktivistas”

2Noviembre 2013ISACA Valencia - VII Congreso

MOTIVACIÓN Black Hat Hackers Script Kiddies Hacktivistas Hackers financiados por gobiernos Espionaje Ciberterroristas

3Noviembre 2013ISACA Valencia - VII Congreso

TIPOS DE ATAQUES Ataque contra la disponibilidad de sistemas Intrusión desde el exterior Acceso a información sensible desde el interior

4Noviembre 2013ISACA Valencia - VII Congreso

ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS También llamados de denegación de servicio (DoS) o de

denegación de servicio distribuidos (DDoS) Muchos usuarios se ponen de acuerdo para acceder

simultáneamente a un recurso, colapsándolo Uso de herramientas que generan muchas peticiones en un

intervalo corto de tiempo (LOIC) Uso de botnets

5Noviembre 2013ISACA Valencia - VII Congreso

PROTECCIÓN ATAQUE CONTRA LA DISPONIBILIDAD DE SISTEMAS Uso de redes CDN Distribución de contenidos global Se minimiza el impacto de ataques distribuidos porque se

dividen los usuarios en grupos que atienden nodos distintos Nodos tratan de ocultan ubicación real del servidor origen

6Noviembre 2013ISACA Valencia - VII Congreso

ATAQUES DESDE EL EXTERIOR Más complejos que los anteriores El objetivo es acceder a información confidencial no solo

colapsar un servicio Atacantes más expertos y especializados

7Noviembre 2013ISACA Valencia - VII Congreso

8Noviembre 2013ISACA Valencia - VII Congreso

¿Cómo lo hacen?

SERVICIOS ABIERTOS EN EL PERIMETRO Toda AAPP, para funcionar, debe disponer de algunos

servicios abiertos en el perímetro de su red:– VPN– Correo electrónico– SSH– Escritorio remoto– Citrix– Servidores web

9Noviembre 2013ISACA Valencia - VII Congreso

SERVICIOS ABIERTOS EN EL PERIMETRO Toda AAPP para funcionar debe disponer de algunos servicios

abiertos en el perímetro de su red. Detrás de cada servicio hay un software servidor a la escucha Este software servidor está programado por personas y, por

tanto, tiene fallos Los atacantes aprovechan esos fallos para saltarse medidas

de seguridad de los programas o directamente para manipularlos para que hagan lo que ellos quieran

10Noviembre 2013ISACA Valencia - VII Congreso

¿CÓMO AVERIGUAN ESOS FALLOS? Las mismas empresa que desarrollan el software los publican

cuando ya han corregido el fallo en la siguiente versión O si no los publican pero corrigen el fallo, los atacantes

averiguan el fallo viendo la corrección O pueden averiguarlos ellos mismos y no hacerlos públicos…

son los denominados 0days

11Noviembre 2013ISACA Valencia - VII Congreso

¿CÓMO PROTEGERNOS CONTRA ESTE TIPO DE FALLOS? Se debe disponer de un buen procedimiento de instalación de

actualizaciones de seguridad– Esto reduce el tiempo que estaremos desprotegidos (desde que se

publica el parche hasta que instalamos)

Se debe tener la menor cantidad posible de servicios publicados en el perímetro

El software servidor debe ejecutarse lo más aislado posible y con los menores permisos posibles. Esto reducirá el impacto

12Noviembre 2013ISACA Valencia - VII Congreso

LA PÁGINA WEB Actualmente es el servicio con mayor probabilidad de ser

“hackeado” Muchas fugas de información en AAPP vienen por problemas

de seguridad en la web Muchos servicios de la sociedad de la información se ofrecen

a través de aplicaciones web

13Noviembre 2013ISACA Valencia - VII Congreso

¿CUÁL ES EL PROBLEMA DE LAS APLICACIONES WEB? Si están basadas en un software, como un CMS (Liferay,

Joomla, Drupal) tiene fallos conocidos

– Los atacantes buscan páginas con estos CMS por sus fallos conocidos

Si se desarrollan desde 0: Habrá más problemas de seguridad pero menos conocidos

14Noviembre 2013ISACA Valencia - VII Congreso

¿POR QUÉ ES DIFÍCIL DESARROLLAR APLICACIONES WEB SEGURAS?

La seguridad 100% no existe Los desarrolladores deben tener formación específica para

evitar fallos de seguridad. El sentido común no sirve. Los equipos de testing típicos son expertos en probar

funcionalidad y rendimiento pero no seguridad Los defensores deben proteger todas las vías de entrada, los

atacantes solo deben encontrar una desprotegida La seguridad muchas veces se deja para el final y entonces no

queda tiempo

15Noviembre 2013ISACA Valencia - VII Congreso

¿CUÁLES SON LOS FALLOS TÍPICOS EN LAS APLICACIONES WEB? (FROM OWASP TOP 10 2013) Inyecciones – SQL, LDAP, OS, HTML Mecanismo de autenticación o gestión de sesión vulnerable Cross-Site Scripting (XSS) Referencias inseguras directas a objetos Configuraciones inseguras Exposición de información sensible Ausencia de control de acceso a nivel de función Cross-Site Request Forgery (XSRF) Uso de componentes con vulnerabilidades conocidas Redirecciones no validadas

16Noviembre 2013ISACA Valencia - VII Congreso

¿CÓMO REDUCIR EL RIESGO DE ESTE TIPO DE VULNERABILIDADES? Seguridad desde la fase de diseño de la aplicación Análisis de vulnerabilidades a intervalos planificados o cuando se

realizan grandes cambios sobre la aplicación Seguridad en profundidad

17Noviembre 2013ISACA Valencia - VII Congreso

ACCESO A INFORMACIÓN SENSIBLE DESDE EL INTERIOR ¡FUE UN HACKER! Puede que no…puede que solo un trabajador descontento La seguridad interna es fundamental Las organizaciones suelen actuar más a posteriori, cuando el daño está

hecho, por impotencia El coste entonces es mucho más elevado que el de la prevención

18Noviembre 2013ISACA Valencia - VII Congreso

¿CÓMO PREVENIR LOS ATAQUES INTERNOS?

Procedimientos de seguridad relacionados con los recursos humanos Políticas y control de acceso Sistemas de prevención de fuga de datos (DLP) Sistemas SIEM Formación y concienciación

19Noviembre 2013ISACA Valencia - VII Congreso

20Noviembre 2013ISACA Valencia - VII Congreso

¿PREGUNTAS?