security on site i
DESCRIPTION
Security On Site I. Chema Alonso MVP Windows Server Security Informática 64 [email protected]. Agenda. Principios de Seguridad Ataques a Sistemas Actualizaciones de Seguridad Seguridad en Servidores Seguridad en Clientes. Principios de Seguridad. Seguridad. - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/2.jpg)
Agenda
Principios de Seguridad
Ataques a Sistemas
Actualizaciones de Seguridad
Seguridad en Servidores
Seguridad en Clientes
![Page 3: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/3.jpg)
Principios de Seguridad
![Page 4: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/4.jpg)
Seguridad
La seguridad depende de 3 factores:Procesos:
Procedimientos y operaciones en nuestros entornos
PersonasPoca formación
Tecnología:Estándares (TCP/IP)Productos de los fabricantes (IIS,Apache)Desarrollos personales
![Page 5: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/5.jpg)
¿Porque Atacan?Motivos Personales
DesquitarseFundamentos políticos o terrorismoGastar una bromaLucirse y presumir
Motivos FinancierosRobar información
Chantaje
Fraudes Financieros
Hacer DañoAlterar, dañar or borrar información
Denegar servicio
Dañar la imagen pública
![Page 6: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/6.jpg)
Impacto de los Ataques
Pérdida de Beneficios
Deterioro de la confianza de los
inversores
Daños en la reputación
Datos comprometidos
Interrupción de los procesos de
Negocio
Daños en la confianza de los
clientes
Consecuencias legales
(LOPD/LSSI)
![Page 7: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/7.jpg)
Bug
Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.
Fuente: Wikipedia en Español
![Page 8: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/8.jpg)
ExploitExploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyeccion de caraceres (CRLF).
Fuente: Wikipedia en Español
![Page 9: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/9.jpg)
Payload
In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not.
Fuente: Wikipedia
![Page 10: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/10.jpg)
Software SeguroEl software Fiable es aquel que hace lo que se supone que debe hacer.
El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas.
Son los sorprendentes “algo mas” los que producen inseguridad.
Para estar seguro, debes de ejecutar solo software perfecto :-)
O, hacer algo para mitigar ese “algo mas”
![Page 11: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/11.jpg)
Código y poder
El código fuente es poderTanto para defenderse como para atacar
Compartir el código es compartir el poder.Con los atacantes y defensores
Publicar el código fuente sin hacer nada más degrada la seguridad
Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.
![Page 12: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/12.jpg)
Proceso explotación Vulnerabilidad1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
![Page 13: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/13.jpg)
185
502
58
208
336
53
11
336
31 27
SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion
Win32Win32
Linux/UnixLinux/Unix
Nombre Nombre del Virusdel Virus
Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus
![Page 14: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/14.jpg)
Vulnerabilidades
http://www.securityfocus.com/bid
![Page 15: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/15.jpg)
Sofisticación de los Ataques vs. Conocimientos requeridos
![Page 16: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/16.jpg)
Ataques a Sistemas
![Page 17: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/17.jpg)
Ataque:Envenenamiento ARP
![Page 18: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/18.jpg)
Técnicas de Spoofing
Las técnicas spoofing tienen como objetivo suplantar validadores estáticosUn Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece autenticación que permanece invariable antes, durante y después de invariable antes, durante y después de la concesión.la concesión.
![Page 19: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/19.jpg)
Niveles AfectadosNiveles Afectados
SERVICIOSERVICIO
REDRED Dirección IPDirección IP
ENLACEENLACEENLACEENLACE Dirección MACDirección MAC
Nombres de dominioNombres de dominio
Direcciones de correo electrónicoDirecciones de correo electrónico
Nombres de recursos compartidosNombres de recursos compartidos
![Page 20: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/20.jpg)
Tipos de técnicas de Spoofing
Spoofing ARP• Envenenamiento de conexiones.• Man in the Middle.
Spoofing IP • Rip Spoofing.• Hijacking.
Spoofing SMTP
Spoofing DNS• WebSpoofing.
![Page 21: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/21.jpg)
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:4
4
![Page 22: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/22.jpg)
Protección contra Envenenamiento
Medidas preventivas.
• Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicación:• S/MIME. • SSL.
• Certificado de comunicaciones.
![Page 23: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/23.jpg)
Medidas reactivas.
Utilización de detectores de Sniffers.
• Utilizan test de funcionamiento anómalo.
Test ICMP.
Test DNS.
Test ARP.
Sistemas de Detección de Intrusos
Protección contra Envenenamiento
![Page 24: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/24.jpg)
Frase vs. Passwords
●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
![Page 25: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/25.jpg)
Ataque:SQL – Injection
![Page 26: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/26.jpg)
Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada.Datos de usuario.
FormulariosTextPasswordTextareaListmultilist
Datos de llamadas a procedimientos.LinksFunciones ScriptsActions
Datos de usuario utilizados en consultas a base de datos.
Mala construcción de consultas a bases de datos.
![Page 27: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/27.jpg)
Riesgos
Permiten al atacante:Saltar restricciones de acceso.
Elevación de privilegios.
Extracción de información de la Base de Datos
Parada de SGBDR.
Ejecución de comandos en contexto usuario bd dentro del servidor.
![Page 28: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/28.jpg)
Tipos de Ataques
Ejemplo 1:Autenticación de usuario contra base de datos.
Select idusuario from tabla_usuariosWhere nombre_usuario=‘$usuario’And clave=‘$clave’;
Usuario
Clave ****************
![Page 29: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/29.jpg)
Tipos de AtaquesEjemplo 1 (cont)
Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’
And clave=‘’ or ‘1’=‘1’;
Usuario
Clave
Administrador
‘ or ‘1’=‘1
![Page 30: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/30.jpg)
Tipos de Ataques
Ejemplo 2:Acceso a información con procedimientos de listado.
http://www.miweb.com/prog.asp?parametro1=hola
Ó
http://www.miweb.com/prog.asp?parametro1=1
![Page 31: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/31.jpg)
Tipos de Ataques
Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown --
Ó
http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --
![Page 32: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/32.jpg)
Contramedidas
No confianza en medias de protección en cliente.
Comprobación de datos de entrada.
Construcción segura de sentencias SQL.
Fortificación de Servidor Web.Códigos de error.Restricción de verbos, longitudes, etc..Filtrado de contenido HTTP en Firewall.
Fortificación de SGBD.Restricción de privilegios de motor/usuario de acceso desde web.Aislamiento de bases de datos.
![Page 33: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/33.jpg)
Ataque:Cross-Site Scripting (XSS)
![Page 34: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/34.jpg)
Explotación del Ataque
Datos almacenados en servidor desde cliente.
Datos van a ser visualizados por otros cliente/usuario.
Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.
![Page 35: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/35.jpg)
Riesgos
Ejecución de código en contexto de usuario que visualiza datos.
Navegación dirigidaWebspoofingSpywareRobo de credencialesEjecución de acciones automáticasDefacement
![Page 36: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/36.jpg)
Tipos de Ataques
Mensajes en Foros.
Firma de libro de visitas.
Contactos a través de web.
Correo Web.
En todos ellos se envían códigos Script dañinos.
![Page 37: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/37.jpg)
Contramedidas
Fortificación de aplicaciónComprobación fiable de datos
Fortificación de ClientesEjecución de clientes en entorno menos privilegiado.Fortificación de navegador cliente.
MBSA.Políticas.
![Page 38: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/38.jpg)
Ataque:Troyanos“Hay un amigo en mi”
![Page 39: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/39.jpg)
Definición
Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros.
Los Hackers lo llaman “Boyfriend”.
Mil formas, mil colores, mil objetivos.
![Page 40: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/40.jpg)
Obtención de Privilegios
El programa corre sobre nuestra máquina.
Corre con una identificación de usuario del sistema.
Debe obtener privilegios para poder ejecutarse.
¿Cómo los obtiene?
![Page 41: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/41.jpg)
Obtención de Privilegios
Fallo en la cadena:Procesos:
Sistema no cerrado.
Tecnología:Fallo en sw de sistema operativoFallo en sw ejecución de códigos.
Personas:Ingeniería Social: “¡Que lindo programita!”Navegación privilegiada
![Page 42: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/42.jpg)
Objetivos
Control remoto:Instalan “suites” de gestión del sistema.
Robo de informaciónModificación del sistema:
PhishingCreación de usuariosPlanificación de tareas....
![Page 43: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/43.jpg)
Instalación del Troyano
Se suele acompañar de “un caballo” para tranquilizar a la víctima.
Se añaden a otro software.EJ: Whackamole
Joiners, Binders
Incluidos en documentos que ejecutan código:
Word, excel, swf, .class, pdf, html, etc...
![Page 44: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/44.jpg)
Instalación del Troyano
Simulando ser otro programaP2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll
Instaladores de otro SW
![Page 45: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/45.jpg)
Troyanos “Comerciales”
Su difusión es extrema.Se han hecho famosos debido a su extensión.Suelen ser utilizados por principiantesCasi todos los sistemas Anti-Malware son capaces de detectarlos.Aún así siguen siendo útiles porque mutan.
![Page 46: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/46.jpg)
Algunos
Back Orifice
NetBus
NetDevil
SubSeven
Ptakks
......
![Page 47: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/47.jpg)
Detección de Troyanos
Anti-MallwareAntivirusAntiSpyware
Comportamiento anómalo del sistemaConfiguraciones nuevas
Cambio en páginas de navegaciónPuertos....
![Page 48: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/48.jpg)
Prevención contra Troyanos
Defensa en ProfundidadMínimo Privilegio PosibleMínimo punto de exposición
Gestión de updates de seguridadAntivirus/AntiSpywareEjecución controlada de programasNavegación segura
![Page 49: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/49.jpg)
Ataque:RootKits“Los Otros”
![Page 50: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/50.jpg)
Definición
Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.
![Page 51: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/51.jpg)
¿Que es un RootKit?
Originalmente – Fichero Troyano con una puerta trasera
Cambia ficheros, ejmp., netstat.exe Pueden ser detectados con herramientas tipo “Tripwire”
Hoy en día – La mayoría de los “RootKits” tienen componentes en modo Kernel
Trastornan el TCB “Trusted Computer Based”Ocultan cosasOtras capacidadesDifíciles de detectar y eliminar
Premisa: El atacante lo puede instalar de manera directa o indirecta.
![Page 52: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/52.jpg)
Breve Historia.A principios de los años 90s, los “RootKits” aparecen por primera vez en el mundo UnixAl final de los 90s, Greg Hoglund y su equipo los introducen por primera vez en los entornos Windows. http://www.rootkit.com La creación y la detección de los RootKits continua evolucionando
Modo Usuario -> Modo Kernel -> flash RAMNuevas técnicas en cada nivel
![Page 53: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/53.jpg)
¿Que puede hacer?
Esconder: A si mismo + algo que el intruso quiera.ProcesosFicheros y su contenidoClaves y valores del registroDrivers en modo “Kernel”Puertos
Sniffing – Trafico de Red, Log de pulsaciones de tecladoElevación de Privilegios - Modificación de los testigos de acceso (access token)Cualquier cosa que un driver o el Sistema Operativo pueda hacer…
![Page 54: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/54.jpg)
NTDLL.DLLNtQuerySystemInformation
PSAPI.DLLEnumProcesses
Aplicación (Ejem., taskmgr, tlist)
NTOSKRNL.EXE
MODO-USUARIO
MODO-KERNEL
Código Malicioso“RootKit”
Interceptación de APIs a nivel de Usuario
![Page 55: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/55.jpg)
NTDLL.DLLNtQuerySystemInformation
PSAPI.DLLEnumProcesses
Aplicación (Ejem., taskmgr, tlist)
NTOSKRNL.EXECódigo Malicioso
“RootKit”
Interceptación de APIs a nivel del Núcleo “KERNEL”
MODO-USUARIO
MODO-KERNEL
![Page 56: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/56.jpg)
Hacker DefenderEs el RootKit mas extendido en los sistemas Windows.Ficha:
Autores:Holy_Father [email protected]/29A [email protected]
Version: 1.0.0Home Page: http://rootkit.host.sk, http://hxdef.czweb.orgProgramación: DelphiSO: NT, 2000, XP
![Page 57: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/57.jpg)
ObjetivoReescribir algunos segmentos de memoria en todos los procesos que se ejecuten en una máquina para:
Esconderse a si mismo y esconder:FicherosProcesosServicios de sistemaDrivers de sistemaClaves y valores del registroPuertos abiertos
Engañar con el espacio libre en disco.Enmascarar los cambios que realiza en memoria.Instalar una puerta trasera con tecnología de “redirector”Soporta Procesos “Root”
![Page 58: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/58.jpg)
Configuración I
Se configura mediante un fichero INI que tiene los siguientes campos:
[Hidden Table]: Listado de directorios ficheros y procesos que deben ser ocultados[Root Processes]: Procesos que no serán infectados por el RootKit.[Hidden Services]: Servicios que no se listarán[Hidden RegKeys]: Claves del registro ocultas[Hidden RegValues]: Valores del registro ocultos.
![Page 59: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/59.jpg)
Configuración II[Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit.
[Free Space]: Espacio que se añade a cada disco duro.
[Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo OpPorts, FPort, Active Ports, Tcp View etc…
[Settings]: 8 valores para configurar diferentes cosas.
![Page 60: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/60.jpg)
DetecciónLo mejor es no tener que detectarlos, pues no es tarea fácil. Para ello hay que evitar que entren en nuestra máquina:
Actualizar los parches del sistema
Utilizar antivirus
Utilizar firewalls
Utilizar Sistemas Operativos modernos
Si entran y somos capaces de detectarlos, la única solución fiable es formatear.
![Page 61: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/61.jpg)
DetecciónLo mas fácil es detectarlo antes de que se instale. (Antivirus, antispyware, etc…)Si ya esta instalado se puede detectar de tres maneras:
Casualidad.Cuelgues de la máquinaSoftware AntiRootKit
Tripwire.http://www.tripwire.com/products/technology/index.cfm
RootkitRevealer de Sysinternalshttp://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
Blacklight de F-Securehttp://www.f-secure.com/blacklight/try.shtml
Las principales estrategias para poder detectarlos son:Detectar la presencia del propio RootKit.Detectar los recursos que esconden. Hacer de su virtud, su principal debilidad.
![Page 62: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/62.jpg)
En Modo - Usuario:Puenteando las intercepciones a las llamadas de la API (escribiendo tus propias API)Detectarlos en modo “Kernel”
En modo – KernelExaminar directamente la estructura de datos en modo Kernel sin hacer llamadas a las APIsVerificación de “KiServiceTable”Verificación de las firmas de las funciones que están en memoria.
Ambos se pueden detectar.Herramientas de Debugging:
http://www.microsoft.com/whdc/devtools/debugging/ http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
Técnicas de Detección
![Page 63: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/63.jpg)
Futuro - Presente
Rootkits de BIOS programados con ACPI presentados en BlackHat Conference Enero 2006
Rootkits de BBDD presentados en Microsoft BlueHat Conference 2006
Rootkits VM presentados por Microsoft Research y Universidad Michigan Marzo 2006.
![Page 64: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/64.jpg)
Actualizaciones de Seguridad
![Page 65: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/65.jpg)
TTimpactoimpacto
TTriesgoriesgo
Terminología y Consideraciones acerca de las actualizaciones de Seguridad
![Page 66: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/66.jpg)
Herramientas de Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0.Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.Existen Zero Day Exploits
Auditorias de seguridadNo son las únicas que deben hacerseSe deben realizar de forma automática y de forma manual [“artesana”].Con la visión de un atacante y con la visión del administrador.
![Page 67: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/67.jpg)
Auditoría Caja Negra
Se realiza desde fueraOfrece la visión de un hackerNo puede ser ejecutada desde dentro Falsos positivosNo garantiza “Servidor Seguro”No todos los escáner ofrecen los mismos resultados.SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …
![Page 68: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/68.jpg)
Scanners de Vulnerabilidades
Satan, Saint, Sara
Shadow Security Scannerhttp://www.safety-lab.com
GFI Languard Network Security Scannerhttp:///www.gfihispana.com
Retinahttp://www.eeye.com
Nessushttp://www.nessus.org
NetBrute, R3X
![Page 69: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/69.jpg)
Auditoría Caja Blanca
Se realiza internamente
Con privilegios y visualización completa del sistema
Se utilizan herramientas proporcionadas por el fabricante o propias
MBSAEXBPAMOM 2005….
![Page 70: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/70.jpg)
Actualizaciones en Microsoft
Security Patch
Critical Update
Update
Hotfix
Update Roll-Up
Service Pack
![Page 71: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/71.jpg)
Niveles de Severidad
TechNet Security Bulletin Search:http://www.microsoft.com/technet/security/current.asp
Rating Definition
CriticalExploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action
ImportantExploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources
Moderate
Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation
Low Exploitation is extremely difficult, or impact is minimal
![Page 72: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/72.jpg)
Gestión de Actualizaciones
![Page 73: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/73.jpg)
MBSAAyuda a identificar sistemas Windows vulnerables.
Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.Escanea distintas versiones de Windows y distintas aplicaciones.Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo.
Corre en Windows Server 2003, Windows 2000 y Windows XPSe integra con SMS 2003 SP1, con SUS y WSUS
![Page 74: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/74.jpg)
MBSA
![Page 75: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/75.jpg)
EXBPAExamina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.
Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.Juzga la salud general del sistema.Ayuda a resolver los problemas encontrados.
Busca también Actualizaciones de Seguridad que falten.
![Page 76: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/76.jpg)
EXBPA
![Page 77: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/77.jpg)
Herramientas para la Gestión de Actualizaciones
Usuario Final y Pequeña Empresa:Microsoft Update
Pequeña y Mediana Empresa:Windows Software Update Services
Mediana Empresa y Corporaciones:SMS and the SMS Software Update Services Feature Pack
![Page 78: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/78.jpg)
Productos de TercerosCompañía Producto URL
Altiris, Inc. Altiris Patch Management http://www.altiris.com
BigFix, Inc. BigFix Patch Manager http://www.bigfix.com
Configuresoft, Inc. Security Update Manager http://www.configuresoft.com
Ecora, Inc. Ecora Patch Manager http://www.ecora.com
GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com
Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Software, Ltd LANDesk Patch Manager http://www.landesk.com
Novadigm, Inc. Radia Patch Manager http://www.novadigm.com
PatchLink Corp. PatchLink Update http://www.patchlink.com
Shavlik Technologies HFNetChk Pro http://www.shavlik.com
St. Bernard Software UpdateExpert http://www.stbernard.com
![Page 79: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/79.jpg)
Fortificación de Servidores
![Page 80: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/80.jpg)
FortificaciónConsiste en la aplicación de tres principios:
Defensa en Profundidad (DP):Máximo número de medidas de protección que se puedan aplicar siempre que:
Una medida no anule a otra
No haya deterioro en la disponibilidad del sistema
Mínimo Punto de Exposición (MPE):Un servidor solo ejecutar aquello que es estrictamente necesario para su rol
Mínimo Privilegio Posible (MPP):Cada componente del sistema se ejecuta con el menor de los privilegios necesarios.
Se puede automatizar en función del rol
![Page 81: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/81.jpg)
Plantillas de seguridadDefinen los valores necesarios para las directivas de seguridad de los servidores en función de su rol y su entorno.
Se pueden aplicar de forma local o a través del dominio.
Afectan a los siguientes componentes:
Guía de Seguridad en Windows Server 2003
•Cuentas de usuario.•Auditorías.•Derechos de usuarios.•Opciones de seguridad.•Visor de sucesos.
•Grupos restringidos.•Servicios.•Claves de registro.•Sistema de ficheros.
![Page 82: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/82.jpg)
Herramientas
![Page 83: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/83.jpg)
Análisis y configuración
![Page 84: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/84.jpg)
Resultante de políticas.Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.
Presenta dos herramientas:RSoP. Herramienta gráfica.
GPRESULT. Línea de Comando.
GPMC
![Page 85: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/85.jpg)
Seguridad en Servidores:Windows 2003 SP1
![Page 86: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/86.jpg)
Mejoras en la seguridad del SistemaPost Setup Security Updates
Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones.
Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.
![Page 87: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/87.jpg)
Mejoras en la Seguridad del SistemaPost Setup Security Updates
![Page 88: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/88.jpg)
Mejoras en la Seguridad del Sistema
Post Setup Security Updates Se invoca después de:
Actualización de Windows NT4 a Windows Server 2003 SP1
Instalación combinada de Windows Server 2003 y SP1
NO invocada después de: Actualización desde Windows 2000 a Windows
Server 2003 SP1 Actualización desde Windows Server 2003 a SP1
![Page 89: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/89.jpg)
Mejoras en la Seguridad del Sistema Data Execution Prevention
Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones.
AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada.
AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.
![Page 90: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/90.jpg)
Mejoras en la Seguridad del Sistema
Security Configuration Wizard Identifica puertos abiertos
El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados.
Selecciona el role del servidor de la base de datos de configuración.
Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que
tiene el servidor.
![Page 91: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/91.jpg)
Mejoras en la Seguridad del Sistema
Security Configuration Wizard La configuración se salva en un fichero XML. Se aplica por el asistente
Se puede aplicar una política de seguridad existente a otro equipo.
Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida
![Page 92: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/92.jpg)
Security Configuration Wizard
![Page 93: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/93.jpg)
Seguridad en Clientes
![Page 94: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/94.jpg)
Bests Practices
Fortificación estación de TrabajoWindows XP Service Pack 2
Guía de fortificación de estaciones de Windows XP (http://www.microsoft.com/spain/technet)
Utilización de Firewall
Navegación restringida
Uso de Antivirus/Antispyware
Formación del usuario
![Page 95: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/95.jpg)
Malicious Software Removal Malicious Software Removal ToolTool
ObjetivosObjetivosReducir el Impacto del malware en usuarios Reducir el Impacto del malware en usuarios WindowsWindows
Entender las tendencias del malwareEntender las tendencias del malware
DistribuciónDistribuciónWindows UpdateWindows Update
Centro de DescargasCentro de Descargas
Sitio WebSitio Web
Reporte disponible públicamenteReporte disponible públicamente
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 92CDE33E99A9
![Page 96: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/96.jpg)
Actividad de MSRTActividad de MSRT
2.7 billones de 2.7 billones de ejecucionesejecuciones
270 millones de equipos270 millones de equipos
0
750.000.000
1.500.000.000
2.250.000.000
3.000.000.000
![Page 97: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/97.jpg)
Resultados MSRTResultados MSRT
16 millones de infecciones16 millones de infecciones
5.7 millones de equipos infectados5.7 millones de equipos infectados
1 infección cada 3111 infección cada 311
16
5,7
(mil
lio
ns)
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
![Page 98: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/98.jpg)
Reducción del ImpactoReducción del Impacto
75-100%; 25
50-74%; 12
25-49%; 7
0-24%; 6
Incremento; 3
Decremento; 50
![Page 99: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/99.jpg)
Entender las tendenciasEntender las tendencias
238372
592641
781
1.151
3.538
InstantMessaging
Worm
Virus ExploitWorm
P2P Worm Rootkit MassMailingWorm
BackdoorTrojans
Tipo de Malware (miles de equipos)
Troyanos de puerta trasera son la amenaza Troyanos de puerta trasera son la amenaza mas significante y mas crecientemas significante y mas creciente
Los Rootkits son una amenaza emergenteLos Rootkits son una amenaza emergente
Ingeniería Social 35%Ingeniería Social 35%
![Page 100: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/100.jpg)
Como ayuda VistaComo ayuda Vista
Contra el Malware..Contra el Malware..PrevenciónPrevención
AislamientoAislamiento
RemediosRemedios
![Page 101: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/101.jpg)
PrevenciónPrevención
Vulnerabilidad de SoftwareVulnerabilidad de Software •Ciclo de desarrollo seguroCiclo de desarrollo seguro•Actualizaciones AutomáticasActualizaciones Automáticas•Windows Firewall/IPSecWindows Firewall/IPSec•Data Execution ProtectionData Execution Protection•Address Space Layout RandomizationAddress Space Layout Randomization
AmenazaAmenaza Tecnología en VistaTecnología en Vista
Ingeniería SocialIngeniería Social •User Account ControlUser Account Control•Windows DefenderWindows Defender
Vulnerabilidad de la PolíticaVulnerabilidad de la Política •Contraseña de Administrador en BlancoContraseña de Administrador en Blanco•Firma de drivers en 64 bitFirma de drivers en 64 bit•Política de Firewall por RedPolítica de Firewall por Red
![Page 102: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/102.jpg)
AislamientoAislamientoAmenazaAmenaza Tecnología en VistaTecnología en Vista
Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64-bit Integridad de Sistemas de 64-bit
Recursos del SistemaRecursos del Sistema Fortificación de ServiciosFortificación de ServiciosFirewall Bidireccional Firewall Bidireccional IE Protected ModeIE Protected Mode
Configuración del SistemaConfiguración del Sistema User Account ControlUser Account ControlWindows DefenderWindows Defender
![Page 103: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/103.jpg)
RemediosRemediosAmenazaAmenaza Tecnología en VistaTecnología en Vista
Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows
Limpieza de Spyware Limpieza de Spyware Windows DefenderWindows Defender
Limpieza de Virus Limpieza de Virus Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool
![Page 104: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/104.jpg)
Mejoras en la Seguridad del Sistema
Data Execution Prevention• Forzada por el hardware y el software
• Hardware DEP
• Requiere que el procesador lo soporte o implemente
• El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable.
• Puede causar problemas de compatibilidad.
•Software DEP• Funcionalidad en cualquier procesador que soporte
Windows Server 2003
• Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema.
• Es raro que cause problemas de compatibilidad.
![Page 105: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/105.jpg)
Stack
Return Address
Locals
Protección de la MemoriaProtección de la Memoria Data Execution Protection Data Execution ProtectionAddress Space Layout RandomizationAddress Space Layout Randomization
DEPDEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()LoadLibrary()
ASLRASLR
![Page 106: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/106.jpg)
Integridad de Sistemas de 64 Integridad de Sistemas de 64 bitbitApplication
CreateFile()
Kernel32.dllCreateFileW()
ntdll.dllZwCreateFile()
Interrupt Dispatch Table
2E
System Service Dispatch Table
NtCreateFile()
Interrupt Dispatch TableInterrupt Dispatch Table
Global Descriptor TableGlobal Descriptor Table
System Service Dispatch System Service Dispatch TableTable
![Page 107: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/107.jpg)
Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows
Hace que el sistema funcione bien como un usuario Hace que el sistema funcione bien como un usuario estándarestándar
Proporciona un método seguro para ejecutar aplicaciones Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoen un contexto elevado
Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipoDeja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar Virtualización del registro y ficheros para proporcionar compatibilidad.compatibilidad.
Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.que necesitan cuentas de administración de manera segura.
![Page 108: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/108.jpg)
Protección de cuentas UsuarioProtección de cuentas UsuarioUAC (User Account Control)UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:de dos maneras distintas:
1.1. El usuario no necesita tener privilegios administrativos para El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios realizar ciertas tareas para las que se necesitas esos privilegios – En cambio:– En cambio:
Se le pregunta al usuario por credenciales con mas privilegiosSe le pregunta al usuario por credenciales con mas privilegios
2.2. Aunque el usuario tenga privilegios superiores( Ejem. un Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitadosantes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientonecesita el consentimiento
Leer: Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspxx
![Page 109: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/109.jpg)
Internet Explorer 7Internet Explorer 7Además de ser compatible con UAC, incluirá:Además de ser compatible con UAC, incluirá:
Modo ProtegidoModo Protegido que solo permite a IE navegar sin mas que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar permisos, aunque el usuario los tenga. Ejem. Instalar softwaresoftware
Modo de “Solo-lectura”, excepto para los ficheros temporales Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de de Internet cuando el navegador esta en Zona de seguridad de InternetInternet
Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada poco que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datostiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles ActiveX Opt-in, da al usuario el control de los controles ActivexActivex
Todos los datos de cache se eliminan con un solo clickTodos los datos de cache se eliminan con un solo click
![Page 110: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/110.jpg)
MIC & UIPI
Mandatory Integrity Control (MIC).Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
User Interfacer Privilege Isolation (UIPI)Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
![Page 111: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/111.jpg)
Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:
1.1. Compara el Sitio Web con la lista local de sitios legítimos conocidosCompara el Sitio Web con la lista local de sitios legítimos conocidos
2.2. Escanea el sitio Web para conseguir características comunes a los Escanea el sitio Web para conseguir características comunes a los sitios con Phisingsitios con Phising
3.3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horareportados que se actualiza varias veces cada hora
Level 1: Warn Suspicious Website
Signaled
Level 2: Block Confirmed Phishing Site
Signaled and Blocked
Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7
![Page 112: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/112.jpg)
Windows DefenderWindows Defender
MonitorizaciónMonitorización
DetecciónDetección
LimpiezaLimpieza
Software ExplorerSoftware Explorer
SpyNetSpyNet
![Page 113: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/113.jpg)
10 Immutable Laws of Security
1If an attacker can persuade you to run his program on your computer, it's not your computer anymore.
2If an attacker can alter the operating system on your computer, it's not your computer anymore.
3If an attacker has unrestricted physical access to your computer, it's not your computer anymore.
4If you allow an attacker to upload programs to your website, it's not your website anymore.
5 Weak passwords prevail over strong security.
6 A machine is only as secure as the administrator is trustworthy.
7 Encrypted data is only as secure as the decryption key.
8 An out-of-date virus scanner is only marginally better than no virus scanner at all.
9 Absolute anonymity isn't practical, in real life or on the Web.
10 Technology is not a panacea.
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp
![Page 114: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/114.jpg)
¿ Preguntas ?
![Page 115: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/115.jpg)
Web MVPs
![Page 117: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/117.jpg)
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/HOLsistemas
Desarrollo http://www.microsoft.com/spain/HOLdesarrollo
![Page 118: Security On Site I](https://reader036.vdocuments.net/reader036/viewer/2022062408/56813edc550346895da9512d/html5/thumbnails/118.jpg)
Contacto
Chema [email protected]
http://www.elladodelmal.com
http://www.vista-tecnica.com
http://www.informatica64.com/retohacking