docSeguridad en Windows Vista
download 
Demanda Transcripción
Seguridad en Windows Vista
Windows Vista Chema Alonso MVP Windows Security [email protected] Chema Alonso Maligno http://www.elladodelmal.com https://listas.hispalinux.es/pipermail/grulin/2005-December/003537.html josemaricariño Comunidad Making Friends https://listas.hispalinux.es/pipermail/grulin/2005-December/003592.htm l http://listas.hispalinux.es/pipermail/grulin/2006-May/003996.html Making Friends http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6 Making Friends Agenda Entorno El mundo de las amenazas Malware Clasificación Como ayuda Vista Visión Tecnológica En profundidad Protección de la memoria Integridad de Sistemas en 64-bit Filtro Antiphising -IE7 UAC Windows Defender Entorno del Software Malintencionado Espectro de Malware Inofensivo Potencialmente No requerido Adware, spyware, Software de monitorización o de control remoto Malicioso Viruses, gusanos, Troyanos, rootkits, bots ¿Que es el Spyware? Ninguno Función Inocuo Daño potencial Anuncios Colección de datos Cambios de configuración Monitorización Ejemplos Sin amenazas potenciales + Notepad Muestra anuncios Recoge información personal + Software Ad-supported – Pop-ups no autorizados + Barra de busqueda – Recolector de datos Spyware y Software no deseado: + Utilidades de configuración Cambia opciones del – Secuestro del Navegador Aplicaciones que llevan a cabo ciertas sistema funciones sin el apropiado control y + Control Parental Guarda lo que tecleas – Key -loggers consentimiento del usuario. Uso de recursos Marca automáticamente Usa recursos de forma remota Actividad maliciosa Claramente malicioso (virus, gusano, troyano) Marcado Extremo Descripción + – + ISP software Porn dialer Aplicaciones en background – Puertas traseras – Sasser Espectro de Malware Inofensivo Potencialmente no requerido Windows Defender Malicioso Windows Malicious Software Removal Tool El mundo de las amenazas Amenaza Ejemplo de Mitigación(es) Autenticación de Windows Violación de la Integridad del sistema Contraseñas Fuertes PatchGuard (Vista x64) User Account Control (Vista) ASLR (Vista) / DEP Cifrado de Ficheros Violación de la integridad de los Datos / Disclosure Bitlocker (Vista) DRM Filtro Antiphishing (IE 7) Phishing Spam Malware Antispam en Outlook / Exchange Prevención, detección y eliminación de malware Malware Existen muchas formas de malware Software Malicioso (Worm / virus / Troyanos) Software NO deseado (spyware / adware) Comportamiento o modo de actuación Vector de Replicación (email / P2P / IM / network) Exploit de una vulnerabilidad de software Ingenieria Social Backdoor Robo de contraseñas Polymorfico Rootkit Payload ( borrado de disco duro, documentos, flash BIOS, etc.) El modo de implementarlo depende de la motivación del autor Existen varias fuentes de código para malware Los atacantes hacen pruebas frente a los productos de seguridad Historia de Microsoft 1992: Fundación de GeCAD Junio 2003: Microsoft adquiere los derechos de PI de GeCAD Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus Deciembre 2004 : Adquisición de la compañía de software Giant Enero 2005: Lanzamiento del Malicious Software Removal Tool Enero 2005: Lanzamiento de Windows Antispyware (Beta 1) Febrero 2006: Lanzamiento de Windows Defender (Beta 2) Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus 502 Win32 Linux/Unix 336 336 208 185 58 53 31 11 Nombre del Virus Slammer BugBear Slapper Ramen Klez Lion Scalper Nimda CodeRed 27 Blaster Malicious Software Removal Tool Objetivos Reducir el Impacto del malware en usuarios Windows Entender las tendencias del malware Distribución Windows Update Centro de Descargas Sitio Web Reporte disponible públicamente http://www.microsoft.com/downloads/details.aspx?displaylang=es&Famil yID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 Actividad de MSRT 3.000.000.000 2.250.000.000 1.500.000.000 750.000.000 0 2.7 billones de ejecuciones 270 millones de equipos Resultados MSRT (millions) 16 5,7 Resultado Acumulado Infecciones desde Enero '05 Equipos desde Junio '05 16 millones de infecciones 5.7 millones de equipos infectados 1 infección cada 311 Reducción del Impacto 50-74%; 12 25-49%; 7 Decremento; 50 0-24%; 6 Incremento; 3 75-100%; 25 Entender las tendencias Tipo de Malware (miles de equipos) 3.538 1.151 592 238 Instant Messaging Worm 641 781 372 Virus Exploit Worm P2P Worm Rootkit Mass Mailing Worm Backdoor Trojans Troyanos de puerta trasera son la amenaza mas significante y mas creciente Los Rootkits son una amenaza emergente Ingeniería Social 35% Como ayuda Vista Contra el Malware.. Prevención Aislamiento Remedios Prevención Amenaza Tecnología en Vista Vulnerabilidad de Software •Ciclo de desarrollo seguro •Actualizaciones Automáticas •Windows Firewall/IPSec •Data Execution Protection •Address Space Layout Randomization Ingeniería Social •User Account Control •Windows Defender Vulnerabilidad de la Política •Contraseña de Administrador en Blanco •Firma de drivers en 64 bit •Política de Firewall por Red Aislamiento Amenaza Tecnología en Vista Comportamiento del Sistema Integridad de Sistemas de 64-bit Recursos del Sistema Fortificación de Servicios Firewall Bidireccional IE Protected Mode Configuración del Sistema User Account Control Windows Defender Remedios Amenaza Tecnología en Vista Estado de la Seguridad Centro de Seguridad de Windows Limpieza de Spyware Windows Defender Limpieza de Virus Windows Malicious Software Removal Tool Protección de la Memoria Data Execution Protection Address Space Layout Randomization Stack Code Locals Windows Code Return Address LoadLibrary() Parameters Library Code Previous Frames Application Code DEP ASLR Integridad de Sistemas de 64 bit Application CreateFile() Kernel32.dll CreateFileW() Interrupt Dispatch Table Global Descriptor Table System Service Dispatch Table ntdll.dll ZwCreateFile() Interrupt Dispatch Table System Service Dispatch Table NtCreateFile() 2E Cambio fundamental en la operativa de Windows Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura. Protección de cuentas Usuario UAC (User Account Control) Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: 1. El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios 2. Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx Internet Explorer 7 Además de ser compatible con UAC, incluirá: Modo Protegido que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click MIC & UIPI Mandatory Integrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso User Interfacer Privilege Isolation (UIPI) Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas Realiza 3 chequeos para proteger al usuario de posibles timos: 1. Compara el Sitio Web con la lista local de sitios legítimos conocidos 2. Escanea el sitio Web para conseguir características comunes a los sitios con Phising 3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Dos niveles de Aviso y protección en la barra de estado de IE7 Level 1: Warn Level 2: Block Suspicious Website Signaled Confirmed Phishing Site Signaled and Blocked Windows Defender Monitorización Detección Limpieza Software Explorer SpyNet Monitorización Automatic Startup Entry Points (ASEPs) Configuración del Sistema Internet Explorer Configuracion Add-ons Descargas Servicios y Drivers Ejecución de Aplicaciones Registro de Aplicaciónes Windows Add-ons Detección Motores compartidos Formatos de ficheros Contenedores (zip, rar, etc) Empaquetadores de Ficheros (upx, aspack) Muchos formatos estándar Metodos de Detección Hash simple de fichero( MD5, SHA1, CRC) Multi-CRC Firmas de Rootkits en modo usuario Detección genérica Emulación Heurística Limpieza Scripting language Claves del registro Ficheros Modificación del fichero Host Software Explorer En ejecución Programas de Inicio Servicios Drivers SpyNet Ayuda a priorizar la creación de firmas Se envía información Información del fichero Engine / signature versions Voting data Información Demografica Cifrado de datos Basico vs Avanzado – PII Opcional © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
