SEGURIDAD EN EL ENTORNO CORPORATIVO

ÍNDICE DE CONTENIDOS

INFORMACION

La información de cualquier empresa es considerada uno de sus mayores activos.

Concienciacion

La mayoría de empresarios o ejecutivos desconocen este riesgo, ya que centran sus esfuerzos en el normal funcionamiento y productividad de la actividad que desempeñen.

Riesgos y amenazas para el empresario

Las empresas afectadas por vulnerabilidades de seguridad pueden verse afectadas ...

Objetivos

  • La óptima seguridad de red se alcanza con la gestión de riesgos y éste es un proceso continuo que incluye:

  • Valoración minuciosa y continua de dónde residen los riesgos.

  • Establecimiento de barreras para mitigar los riesgos.

  • Aproximación proactiva a la seguridad en general.

  • Objetivos

    Tanto las empresas en última instancia, como los usuarios finales, deben asegurar que todas las posibles brechas de seguridad se encuentren cubiertas, con todos los sistemas parcheados

  • No sólo es necesario optimizar el trabajo del cliente poniendo en marcha sistemas informáticos, sino que hay que estudiarlos, actualizarlos, monitorizarlos y protegerlos.

  • SEGURIDAD

    pilasec

    SEGURIDAD FÍSICA

  • Las nuevas placas base nos permiten dificultar bastante más el acceso a una BIOS protegida mediante el almacenamiento de la contraseña en una EEPROM en lugar de la CMOS que conocemos.

  • cmos
  • Para recuperar la contraseña de una EEPROM haría falta reprogramarla, retirándola con cuidado y con un programador EEPROM leerla, o rellenar la memoria con un editor hexadecimal de 00 ( 0 ) o FF ( 1 )

  • Mediante software reset con CmosPwd (ioperm.exe)

    http://www.cgsecurity.org/wiki/CmosPwd

  • Hardware DEP ( Data Execution Prevention )

  • Se trata de un conjunto de tecnologías de hardware y software que realizan verificaciones adicionales en la memoria para mitigar el riesgo de explotación de código malicioso.

  • Se trata de "marcar" zonas críticas de la memoria como no ejecutables para las aplicaciones, evitando buffer overflows.

  • Si nuestra placa soporta Hardware DEP, el procesador marcará con un bit diferentes zonas de memoria para poder diferenciar entre datos y "código", y aunque se pueda producir una vulnerabilidad en determinado software, no se podrá explotar satisfactoriamente, previniendo así los ataques.

  • NoExecute page protection AMD

    eXecute Never de ARM

    eXecute Disable Bit de INTEL

  • Software DEP

  • Los bits marcados por el procesador que soporte HW-DEP deberán ser interpretados por el SO para poder protegerlos, introduciendo dicho término.

  • DEP fue introducido en Linux en el año 2000, en Windows a partir del 2004 con XP Service Pack 2, y en Apple en 2006.

  • Protegernos con DEP

  • Para proteger los binarios de nuestro sistema con DEP, en Windows XP SP2 tenemos 2 opciones:

  • "Activar DEP sólo para los programas y servicios esenciales de Windows" Opt-In, por defecto."

  • dep
  • "Activar DEP para todos los programas y servicios excepto los que seleccione" Opt-Out, por defecto en Windows 2003 Server.

  • "Always On",medida adicional a partir de Vista 7 y 2008, se diferencia en mayor restricción ya que los binarios no se pueden "deshacer" de la protección, no admite listas de exclusión.

  • Protegernos con DEP, modificación de cabeceras binarias

  • Para que esta medida sea efectiva, el programador debería activar el bit /NXCOMPAT en tiempo de compilación ( Visual Studio ), por defecto desde Windows Vista ( ¿ Y si no lo hace ? )

  • Llamando a la API SetProcessDEPPolicy

  • También podemos marcar el binario forzosamente con un editor hexadecimal o con una herramienta muy útil publicada por Didier Stevens en 2010, setdllcharacteristics.exe

  • setdll
  • setdllcharacteristics +d +n C:\path\to\exe.exe

  • Protegernos con DEP, FORCE_INTEGRITY

  • La modificación de los binarios supone la alteración de la firma digital si estuviera presente, y alertaría con cualquier método implantado de comprobación de firmas ( IDS )

  • El bit FORCE_INTEGRITYforma parte de la Kernel Code Mode Signing,política de comprobación de firma digital de Microsoft.

  • Prevendría al software de su ejecución en caso de considerarla inválida o no poder encontrarla ( Windows Vista, 7 y posteriores ).

  • Esto obliga por ejemplo a un desarrollador de drivers obtener un certificado comercial SPC ( Software Publisher Certificate) de una CA ( third party ) a la que Microsoft permite emitir esos certificados cruzados para poder usar sus propios drivers en x64, de manera que ya no es posible instalar drivers con self-signed certificates.

  • ASLR

  • Address Space Layout Randomization,así como DEP, fue inventado e implementado por el Projecto PaX, en Linux allá por el año 2001, añadiendo una cierta aleatoriedad al direccionamiento virtual de memoria, siendo en Octubre de ese mismo año cuando Microsoft lo aplicó a su SO mediante un parche. ( Culo veo... ) =)

  • Qué entendemos por el espacio en memoria ?

  • Verificando ImageBase sin aleatorizar con Process Explorer y vmmap

  • En Windows XP, no es posible nativamente hacer uso de ASLR, pero existe una herramienta de código libre que nos permitirá habilitar ASLR para servicios críticos de Windows. Se puede descargar desde http://wehntrust.codeplex.com

  • Verificando ImageBase aleatorizada con ASLR

  • Protegiendo nuestro sistema, AppLocker y EMET

  • AppLocker es la evolución de las directivas de restricción de software ( SRP ) que se mantienen en sistemas XP y Vista.

  • Estas directivas de SRP se basaban en el hashing de aplicaciones, limitando únicamente su ejecución.

  • En un entorno dinámico se hace poco versátil su utilización, ya que con cada actualización, o un sólo cambio de un byte de un ejecutable, hace que se tenga que recalcular de nuevo el hash.

  • AppLocker es una mejora sustancial de SRP, permitiendo listas de denegación de ejecutables ( cmd, ps1,js, vbs, capacidad de comprobación de versiones, en cuyo caso si se produce una actualización y el ejecutable se encuentra firmado, no es necesaria la creación de una nueva regla, además de la creación recursiva de reglas basadas en un directorio, más rápido.

  • Protegiendo nuestro sistema, AppLocker y EMET

  • EMET es un kit de herramientas de mitigación mejorada para intentar bloquear los intentos de evasión de las técnicas explicadas anteriormente para DEP y ASLR.

    Es una herramienta gratuita facilitada por Microsoft y que se puede descargar de http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409

  • Structure Exception Handler Ovewrite Protection ( SEHOP )

    Heap Spray Allocation

    Null Page Allocation

    Export Address Table Access Filtering ( EAF )

    Bottom-up randomization

  • Hash to Play, LM/NTLM

  • Windows almacena dos tipos de hashes en su SAM,LM y NTLM

    LM es inseguro por diseño, se sigue utilizando por "Backward Compatibility" de Microsoft.

    NTLM es más avanzado, calculando el hash con el estándar MD4, aunque pierde su efectividad si permitimos que Windows ( por defecto ), almacene LM junto a NTLM

  • Hash to Play, NBNS

    Cuando un host Windows intenta determinar qué IP está asociada a un nombre dado, realiza los siguientes pasos:

    C:\Windows\System32\drivers\etc\hosts

    DNS

    NBNS

    Os preguntaréis, cuántas peticiones no se hacen al DNS y sí pasan a consultar vía NBNS?

    La interesante : Los nuevos exploradores, como Chrome, permiten la búsqueda a través de su barra de navegación, y necesita determinar si lo que se introduce es una petición de resolución de nombres o una búsqueda.

  • Spoofing NBNS responses

    Ejemplo de captura de hashes LM/NTLM en un entorno de Active Directory

    Does not work? No problem Pass-The-Hash

    Esta técnica permite setear "on the fly" los credenciales de sesión manejados por LSA ( Local Security Authority ), incluyendo Usuario, Dominio asociado y hash

  • Pass-The-Hash Toolkit por Hernán Ochoa

    iam.exe , ejecutable que nos permite hacer el cambio de credenciales sin conocer la contraseña en texto plano y sin ningún proceso de cracking.

    whosthere.exe Lista los credenciales actuales del sistema ( locales y remotos ) proporcionados por LSASS.exe ( Local Security Authority Subsystem).

    Viene predefinido con varias direcciones de memoria pertenecientes a sistemas XP/2003 con diferentes Service Packs, idiomas, con lo que posiblemente haga falta ajustarlas. ( LSASRV.DLL )

    A todos los efectos, suplanta la identidad del usuario logueado comprometiendo todos los recursos a los que únicamente éste debería acceder.

  • Contrarrestando LM/NTLM hashes

  • En Windows 2000 SP2, se puede desactivar el almacenamiento de LM de la SAM mediante la clave de registro NoLMHash de tipo REG_DWORD a 1 en

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    Las versiones de Windows basadas en DOS no soportan contraseñas de mas de 15 caracteres, por lo tanto al querer crearla nos avisará, y concatenará un valor nulo 2 veces como hash LM y lo enviará junto al NTLM.

  • Habilitar Kerberos como método de autenticación

  • > >

    /

    > # > >