Title: Malware, Malware y ms Malware Cmo me puedo proteger Dijo el cliente web'
1Malware, Malware y más MalwareCómo me puedo
proteger? Dijo el cliente web.
Marc Vilanova Consultor de Seguridad TIC
Independiente
2- Quién soy?
- Consultor de seguridad TIC Independiente
- 4 años de experiencia profesional
- Miembro del FIRST (Forum of Incident Response and
Security Teams) - Miembro del APWG (Anti-Phishing Working Group)
3- Evolución de los clientes Web
- Panorama actual
- Tecnologías y Funcionalidades
- Riesgos. Cuándo empeoran las cosas?
- Consecuencias
- Ataques comunes
- Ataques reportados recientemente
- Quienes están detrás?
4- Porqué?
- Configuración segura
- Internet Explorer
- Mozilla Firefox
- Apple Safari
- Otros
- Recomendaciones Generales
- Enlaces de Interés
- Preguntas?
5Evolución de los clientes Web
- Web Browser TimeLine
- Des del 1991 a día de hoy han nacido muchos
navegadores - Algunos siguen en desarrollo IE, Mozilla
Firefox, Apple Safari, Opera, etc. - Otros se quedaron en el intento Cello,
WebRunner/HotJava, etc. - Las tecnologías Client-Side también han ido
evolucionando - HTML, DHTML, CSS, Cookies, ActiveX, JavaScript,
VBScript, AJAX, Java, etc. - Mejora de la experiencia del usuario
- Interfaces más atractivas
6Panorama actual
- Uso muy frecuente del cliente Web
- Nadie se acuerda de él cuando se habla de
seguridad. Porqué? - Las configuraciones por defecto que proporciona
el fabricante no son seguras - Mejoran de la experiencia del usuario, pero.
- Aumenta el riesgo y disminuye el tiempo de ser
comprometido - Es una pasarela perfecta para explotar
vulnerabilidades del software - Navegador
- Plug-ins (Realplayer, Quicktime, Adobe Flash,
...) - Sistema Operativo
- Los atacantes ya se han dado cuenta hace tiempo.
Porqué seguimos sin hacer nada?
7Tecnologías y Funcionalidades ActiveX
- Microsoft Internet Explorer
- Permite que las aplicaciones, en parte o su
totalidad, sean utilizadas des del navegador - Aumenta la superficie de ataque
- Componentes que residen en el Sistema Operativo o
se pueden descargar on-line - Funcionalidad extra
- Pueden reducir la seguridad del sistema si no
existe una buena implementación - Se pueden explorar aunque no hayan sido diseñados
para ser usados en el navegador - Ver http//www.kb.cert.org/vuls/id/680526
- CERT/CC ActiveX WorkShop Report
- ActiveX Vulnerabilities DB
8Tecnologías y Funcionalidades Java
- Lenguaje que permite el desarrollo de contenido
activo para páginas web - Independiente del sistema operativo
- Usa la JVM para la ejecución del código Java o
Applet en un entorno "controlado" (sandbox) - Algunas implementaciones contienen
vulnerabilidades no corregidas a día de hoy - Aunque el código esté signado, es posible
saltarse las restricciones - Java Vulnerabilities DB
9Tecnologías y Funcionalidades JavaScript y
VBScript
- JavaScript
- Lenguaje de scripting que permite hacer que las
páginas web sean más interactivas y mas cosas - Muy extendido y usado
- VBScript
- Lenguaje de scripting para Microsoft Internet
Explorer - Similar a JavaScript
- Incompatibilidad Menos usado
10Tecnologías y Funcionalidades Cookies
- Ficheros almacenados en la parte cliente que
contienen información sensible - Páginas Web visitadas
- Credenciales de acceso
- Etc.
- El programador Web decide QUE información se
almacenará en ellas - Tipos
- Sesión. Se destruyen cuando se cierra el
navegador - Persistentes. Se destruyen cuando caducan (Más
riesgo) - Los atacantes intentaran hacerse con ellas con el
fin de robar información
11Tecnologías y Funcionalidades Plug-ins
- Aplicaciones diseñadas para ampliar la
funcionalidad del navegador - Parecidos a ActiveX, pero no se pueden ejecutar
fuera del navegador - Realplayer, Quicktime, Adobe Flash, etc.
- Pueden contener Buffer Overflows o provocar
violaciones de Cross-domain
12Riesgos. Cuándo empeoran las cosas?
- Cuando el usuario no evalúa el riesgo asociado al
click del ratón - Riesgo Ir a sitios inesperados
- Cuando aparecen nuevas vulnerabilidades en
actualizaciones de software - Cuando los ordenadores vienen con software
pre-instalado - Revisar siempre
- Eliminar si no es necesario
- Cuando el software de terceros no dispone de
actualizaciones automáticas - Páginas web que requieren de la instalación de
software adicional - Plug-ins, Codecs, etc.
- Cuando el usuario no tiene los conocimientos para
una correcta configuración - Educar al usuario. Proporcionarles el
conocimiento - Cuando los usuarios no están dispuestos a
activar/desactivar funcionalidades a cambio de
seguridad
13Consecuencias
- Toma de control
- Robo de información
- Credenciales de acceso
- Documentos
- Etc.
- Destrucción de ficheros
- Extorsión CryptoViral
- Pasar a formar parte de una Botnet o Fast-Flux
Service Network
14Botnets
- A botnet is a collection of computers, connected
to the internet, that interact to accomplish some
distributed task. (http//www.shadowserver.org/) - Típicamente usadas para realizar actos ilegales
- Spam, DoS, DDoS (Estonia), Robo de Identidad
(Phishing, Keyloggers), AdSpyware, Scaneos de
Red, Ataques massivos RFI (RemoteFileInclusion)
(recientemente), etc... - Controladas por una o más personas (BotMaster o
BotHerder) - Estructura de Command Control (CC)
- Mecanismos de control basados en HTTP
(NetHell/Limbo), IRC, P2P (StormWorm. de un
año). - de 10.000 bots en una botnet es no es nada raro
15Ataques Comunes
- XSS (Cross-side Scripting)
- Se aprovecha de la confianza que el cliente Web
tiene con la página Web - Robo de información, bypass de autenticación,
etc. - XSS Vulerabilities DB
- CSRF (Cross-side Request Forgery)
- Se aprovecha de la confianza que la página Web
tiene con el cliente Web - Modificar la configuración de un cortafuegos que
se administra via Web - Cross-Zone y Cross-Domain
- Acceso a datos de otro domino
- Acceso a ficheros locales
- Cross-zone and cross-domain vulnerabilities DB
16Ataques reportados recientemente
- Massive Malicious JS Injection Campain
- "xprmn4u.info/f.js" contained in about 83,000
sites - free.hostpinoy.info/f.js contained in about
177,000 sites. - Otros casos relacionados
- uc8010.com
- 2117966.net
- Cuál es el objetivo final? Comprometer nuestro
sistema - Massive SQL Injection Attack
- Modificación de las variables VARCHAR de las
BBDD para inyectar tags HTML Script - hxxp//www.2117966.net/fuckjp0.js
- http//www.shadowserver.org/wiki/pmwiki.php?nCale
ndar.20080320)
17Código JavaScript Malicioso Ofuscado
- Evasión de los sistemas
- AntiVirus
- IDSs
- IPSs
- Gracias a la naturaleza dinámica de JavaScript
18Quiénes están detrás?
- CyberCrime Executives (Data Brokers / Carders)
- Spammers (Pump-and-Dump Stocks, Products,
Phishing, Malware) - Web Site Hackers and Malware Writers
- Bot Herders
- Criminal ISPs (RBN. Russian Business Network)
- Bullet-proof services
- St. Petesburg -gt Panama -gt Asia
- YOU !!!
- Spam through botnets
- Malware through infected websites
19Porqué?
- DINERO!!!
- Software requerido
- MPack (Web Attack Toolkit) 300-500
- Dream Downloader 200-300
- Limbo/NetHell (Banking Trojan, keylogger, etc.)
1000 - Inversión Total de 1500-1800
- Beneficios? Millones de dólares
- Capacidad para atacar, al mismo tiempo, más de
500 bancos a nivel mundial
20Configuración Segura Internet Explorer 7
- Totalmente integrado en MS Windows
- Donde? Herramientas -gt Opciones de Internet -gt
Seguridad - Zonas de Seguridad
- Internet (High)
- No ActiveX
- No Active scripting
- No Java
- Local Intranet
- Trusted Sites (Medium-High)
- Restricted Sites
- Nivel personalizado por zona
21Configuración Segura Internet Explorer 7
- Privacidad
- Cookies
- Advanced -gt Override automatic cookie handling
- Prompt for first and third party cookies
- Allow session (not persistent) cookies enabled,
if there is a lot of prompts - Sitios
- Gestionar las cookies por URL
22Configuración Segura Internet Explorer 7
- Disable third-party browser extensions
- Tool Bars
- BHOs (Browser Helper Objects)
- Usados por los Troyanos para
- Monitorizar el tráfico
- Man-in-the-Middle Attacks
23Configuración Segura Internet Explorer 7
- IDN spoofing of web page addresses
- Enable the "Always show encoded addresses" option
(http//www.kb.cert.org/vuls/id/273262) - Disable the Play sounds in webpages
- No provoca interferéncias con otros softwares,
cómo Adobe Flash or Apple QuickTime
24Configuración Segura Internet Explorer 7
- Programas
- Especificar cuales van a ser los programas
asociados a los diferentes eventos - Deshabilitar que se nos pregunte si IE es el
navegador por defecto
25Configuración Segura Mozilla Firefox
- No dispone de soporte para ActiveX
- No dispone del modelo de Zonas de Seguridad
- CAPS
- Políticas de seguridad
- No gràfico
26Configuración Segura Mozilla Firefox
- Tools -gt Options
- General
- Always ask me where to save files
- Privacidad (History Cookies)
- Entornos compartidos
- Disable the option Remember what I enter in
forms and the search bar - Control granular (Deny, Allow for Session, or
Allow the cookie) - Use my choice for all cookies from this site
- Keep until I close Firefox option. (Si hay muchas
peticiones)
27Configuración Segura Mozilla Firefox
- Security
- Passwords
- Master Password to encrypt sensitive data
- Warn me when sites try to install add-ons (Show a
top bar when a site tries to take an action)
28Configuración Segura Mozilla Firefox
- Content
- Enable/Disable Java. Revisar primero la web
- Advanced
- JavaScript. Todo desabilitado
- File Types (Manage)
- Asociacion de tipo de fichero con programas
- Para todos los ficheros asociados -gt save to
disk - Previene la explotación automàtica
- Aumenta el número de acciones al usuario
29Configuración Segura Mozilla Firefox
- Firefox 1.5 i posteriores
- Herramientas -gt Limpiar información privada
- Extensiones interesantes
- NoScript
- Zonas de Seguridad
- FireKeeper (Web IDS)
- Known infected sites (http//malware.com.br/)
- Scanning of HTTP(S) URL requests, Headers and
Body. - Fast Pattern matching algorithm (SNORT)
30Configuración Segura Apple Safari
- Safari -gt Preferencias
- General
- Save downloaded files to
- Disable Open safe files after downloading
- AutoFill tab
- Filesystem encryption software such as OS X
FileVault along with the use secure virtual memory
31Configuración Segura Apple Safari
- Security
- Web Content (Scripting and active content)
- Disable Plug-ins, Java and JavaScript
- Activar el bloqueo de ventanas pop-up
- Cookies
- Sólo de sitios que estoy navegando, no de
terceras partes (Ads) - Activar "Ask before sending a non-secure form to
a secure website - Activar el aviso antes de mandar datos no
cifrados de un formulario cuando se visita un
site securizado con HTTPS
32Configuración Segura Otros
- Opera
- Mozilla SeaMonkey
- Konqueror
- Netscape
33Recomendaciones Generales
- Activar SIEMPRE las actualizaciones automáticas
cuando el software lo permite - Mantenerse informado sobre los cambios del
software - Página Web Oficial del fabricante
- Listas de correo
- Instalar y usar software AntiVirus (No protege
contra todo el código malicioso) - Seguir el principio de No lo habilites sino lo
necesitas - Usar cuentas con privilegios limitados
- Administrador para la gestión y el mantenimiento
del SO y software - Usuario sin privilegios para el uso diario
- Usar DropMyRights
- Educar al usuario para evitar comportamientos
inseguros - Seguridad a nivel DNS Proyecto OpenDNS
34Enlaces de interés (I)
- CERT/CC References (http//www.cert.org/)
- US-CERT Browser Security (http//www.us-cert.gov/r
eading_room/securing_browser) - NSA (National Security Agency) Security Guides
- OWASP Top Ten
- SANS Top 20
- Microsoft Windows XP References
- Improve the safety of your browsing and e-mail
activities (http//www.microsoft.com/athome/securi
ty/online/browsing_safety.mspx) - Microsoft's Protect Your PC (http//www.microsoft.
com/protect/) - Microsoft Windows XP Baseline Security Checklist
(http//www.microsoft.com/technet/archive/security
/chklist/xpcl.mspx) - Setting Up Security Zones (http//www.microsoft.co
m/windows/ie/using/howto/security/setup.mspx)
35Enlaces de interés (II)
- Apple Macintosh OSX References
- Apple Product Security (http//www.apple.com/suppo
rt/security/) - OSX Security Features Overview (http//www.apple.c
om/macosx/features/security/) - Apple Security Updates (http//docs.info.apple.com
/article.html?artnum61798) - MacOSX Security Configuration (http//images.apple
.com/server/pdfs/Tiger_Security_Config.pdf) - Linux References
- Ubuntu Security notices (http//www.ubuntu.com/usn
/) - Mandriva Security Advisories (http//www.mandriva.
com/security/advisories) - SUSE Security (US/Canada) (http//www.novell.com/l
inux/security/securitysupport.html) - RedHat Security and Errata (http//www.redhat.com/
apps/support/errata/) - Debian Security Information (http//www.debian.org
/security/) - Gentoo Security Handbook (http//www.gentoo.org/do
c/en/security/) - Slackware Security Advisories (http//www.slackwar
e.com/security/)
36Enlaces de interés (III)
- System Administrator References
- Description of Internet Explorer security zones
registry entries (http//support.microsoft.com/?kb
id182569) - How To Set Advanced Settings In Internet Explorer
by Using Group Policy Objects (http//support.micr
osoft.com/?kbid274846) - Internet Explorer Administration Kit
(http//www.microsoft.com/technet/prodtechnol/ie/i
eak)
37Preguntas?
Marc Vilanova marc.vilanova at
gmail.com Consultor de Seguridad TIC Independiente
38 MUCHAS GRACIAS !!!
Marc Vilanova marc.vilanova at
gmail.com Consultor de Seguridad TIC Independiente