Seguridad para todos
-
Upload
zekivazquez -
Category
Software
-
view
490 -
download
0
Transcript of Seguridad para todos
![Page 1: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/1.jpg)
![Page 2: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/2.jpg)
Sobre mi
¿Quien soy?
Ezequiel ”Zequi”Vazquez
Desarrollo backend
Sysadmin & DevOps
Hacking & Seguridad
Ponente en CONs desde 2013
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 3: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/3.jpg)
¿Donde trabajo?
http://swiftcircle.com
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 4: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/4.jpg)
Playas de Cadiz
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 5: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/5.jpg)
Kero
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 6: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/6.jpg)
Randy Rhoads 5
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 7: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/7.jpg)
Harley Davidson Iron 883
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 8: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/8.jpg)
Contents
1 Historias corrientes
2 La vida de un proyecto
3 En resumen
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 9: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/9.jpg)
StuxNet
Como detener el programa nuclear iranı
Junio de 2010
Empresa de seguridad bielorrusa VirusBlokAda
Gusano que reprograma sistemas SCADA
Cuatro vulnerabilidades crıticas de Windows XP
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 10: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/10.jpg)
Sony Pictures Entertainment
¿Recordais la pelıcula “La Entrevista”?
24 de noviembre de 2014
Guardians of Peace
Se extrajeron mas de 100 TB de informacion confidencial
Gusano que explotaba vulnerabilidad en SMB
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 11: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/11.jpg)
El Corte Ingles
Esto no sale en las noticias
3 de febrero de 2016
Grupo hacktivista “La 9 de Anon”
Se filtran las cuentas completas de 2011 a 2016
¿El fallo? Una inyeccion SQL
Explicacion completa http://goo.gl/2iVd3F
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 12: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/12.jpg)
Filipinas
Base de datos de Comision de Elecciones
27 de marzo de 2016
Anonymous & LulzSec
Datos de 55 millones de votantes (¡huellas dactilares!)
No se conocen las vulnerabilidades explotadas
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 13: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/13.jpg)
Panama Papers
Paraisos fiscales en el punto de mira
3 de abril de 2016
Atacante anonimo, colabora con periodistas de investigacion
Informacion confidencial de mas de 40 anos (2.6 TB)
Drupal 7 y Wordpress vulnerable (Revolution slider)
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 14: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/14.jpg)
Turquıa
Datos personales de votantes ¿Eso se come?
4 de abril de 2016
Atacante desconocido (¿norteamericano?)
Datos personales de 49,611,709 votantes (6.9 GB)
Mala encriptacion, contrasena hardcodeada en codigo
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 15: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/15.jpg)
IPS Community Suite
¿Por que conformarse con una web?
19 de abril de 2016
SurfWatch descubre plan para infectar multiples webs
Thanatos/Alphabot, troyano para zombificar pcs (botnet)
Ataque a infraestructura - NHL, Warner, Bethesda, LiveNation
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 16: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/16.jpg)
Conclusion
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 17: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/17.jpg)
Pero no esta todo perdido
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 18: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/18.jpg)
Fases de un proyecto
¿Que es un proyecto?
Es mucho mas que analisis, programacion y produccion
Desde la primera idea del cliente hasta que se apaga el servidor
Se trata de crear (y evolucionar) un producto
Seguridad debe estar presente en todas las fases
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 19: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/19.jpg)
Negociacion y oferta
Desde el minuto cero
La seguridad debe estar reflejada en los requisitos
¿Se necesita cumplir normativas especıficas?
Compromiso entre presupuesto y securizacion
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 20: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/20.jpg)
Analisis
Dibujando los planos
El mejor defensor es alguien que sabe atacar
Prevision del alcance de los fallos de seguridad
La paranoia es una virtud
Mınimo privilegio, granularidad de permisos . . .
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 21: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/21.jpg)
Durante el desarrollo
Asumamos la realidad
El producto que vendemos es el software
Los “malos” no crean los errores, solo los aprovechan
Responsables ultimos de las vulnerabilidades del codigo
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 22: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/22.jpg)
Durante el desarrollo
¿Que es lo que ocurre?
Desconocimiento de mejores practicas en desarrollo seguro
Eleccion de herramientas no adecuadas, o no mantenidas
Programadores somos humanos, los humanos somos vagos
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 23: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/23.jpg)
Durante el desarrollo
¿Y que hacemos?
Programacion defensiva, mejorar el control de errores
Adquirir un nivel basico de formacion en seguridad
Intentar pensar como lo harıa un atacante
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 24: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/24.jpg)
Durante el desarrollo
No solo hay que cuidar el codigo
Acceso a entornos de preproduccion
¿Esta el codigo realmente protegido de ojos indiscretos?
Ojo con las preguntas en Stack Overflow y similares
La seguridad en la oficina y los equipos
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 25: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/25.jpg)
Durante el desarrollo
El responsable de seguridad
Segun el tamano del equipo: departamento o persona
Al menos, una persona debe velar por este aspecto
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 26: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/26.jpg)
La infraestructura
Construir la casa por el tejado
El proyecto no solo es codigo, abarca varias capas
Tolerancia a fallos y alta disponibilidad
Evitar denegacion de servicio
Versionado de configuracion
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 27: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/27.jpg)
Las pruebas
Antes de pasar a produccion
Auditorıa de seguridad completa a codigo e infraestructura
Idealmente, pruebas de seguridad a la par que funcionales
Buena comunicacion entre los miembros del equipo
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 28: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/28.jpg)
En produccion
La informacion es poder
¡Monitorizar todas las cosas!
Inventario de maquinas, servicios, componentes . . .
Listas de distribucion, actualizaciones y noticias
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 29: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/29.jpg)
En produccion
Recordemos el eslabon mas debil
Concienciar al cliente sobre la formacion de usuarios
El factor humano suele ser siempre el punto debil
Una buena herramienta en malas manos: idea horrible
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 30: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/30.jpg)
En produccion
Shit happens
Plan de recuperacion en caso de emergencia
Configurar, revisar y comprobar las copias de seguridad
Auditorıa forense: Saber que ha pasado
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 31: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/31.jpg)
Otros puntos importantes
Aun hay tinta en el tintero
Mantenimiento: Malabares, parches y otras drogas
Ampliaciones del proyecto y nueva funcionalidad
La deuda tecnica: el teorema McFly
El cierre de proyecto: informe post-mortem
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 32: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/32.jpg)
En resumen. . .
Inversion, no gasto
Implicar a todos los actores
Seguridad es un proceso
¡Formacion!
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 33: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/33.jpg)
Seguridad ante todo, pero . . .
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 34: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/34.jpg)
. . . ¡ojo con la interfaz silla-teclado!
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 35: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/35.jpg)
Aquı no se escapa nadie :)
Zequi Vazquez @RabbitLair Seguridad para todos
![Page 36: Seguridad para todos](https://reader031.fdocumento.com/reader031/viewer/2022030306/58cf31781a28ab00168b59cd/html5/thumbnails/36.jpg)
Esto es todo, amigos...
¡Gracias!
@RabbitLairezequielvazq[at]gmail[dot]com
Zequi Vazquez @RabbitLair Seguridad para todos