Seguridad en Windows Vista

Comentarios

Transcripción

Seguridad en Windows Vista
Windows Vista
Chema Alonso
MVP Windows Security
[email protected]
Chema Alonso
Maligno
http://www.elladodelmal.com
https://listas.hispalinux.es/pipermail/grulin/2005-December/003537.html
josemaricariño
Comunidad
Making Friends
https://listas.hispalinux.es/pipermail/grulin/2005-December/003592.htm
l
http://listas.hispalinux.es/pipermail/grulin/2006-May/003996.html
Making Friends
http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6
Making Friends
Agenda
Entorno
El mundo de las amenazas
Malware
Clasificación
Como ayuda Vista
Visión Tecnológica
En profundidad
Protección de la memoria
Integridad de Sistemas en 64-bit
Filtro Antiphising -IE7
UAC
Windows Defender
Entorno del Software Malintencionado
Espectro de Malware
Inofensivo
Potencialmente
No requerido
Adware, spyware, Software de
monitorización o de control remoto
Malicioso
Viruses, gusanos, Troyanos, rootkits, bots
¿Que es el Spyware?
Ninguno
Función
Inocuo
Daño potencial
Anuncios
Colección de
datos
Cambios de
configuración
Monitorización
Ejemplos
Sin amenazas potenciales + Notepad
Muestra anuncios
Recoge información
personal
+ Software Ad-supported
– Pop-ups no autorizados
+ Barra de busqueda
– Recolector de datos
Spyware y Software
no deseado:
+ Utilidades
de configuración
Cambia opciones del
– Secuestro
del Navegador
Aplicaciones
que
llevan
a
cabo
ciertas
sistema
funciones sin el apropiado
control y
+ Control Parental
Guarda lo que tecleas
– Key
-loggers
consentimiento
del
usuario.
Uso de
recursos
Marca
automáticamente
Usa recursos de
forma remota
Actividad
maliciosa
Claramente malicioso
(virus, gusano, troyano)
Marcado
Extremo
Descripción
+
–
+
ISP software
Porn dialer
Aplicaciones en
background
– Puertas traseras
– Sasser
Espectro de Malware
Inofensivo
Potencialmente
no requerido
Windows Defender
Malicioso
Windows Malicious Software Removal Tool
El mundo de las amenazas
Amenaza
Ejemplo de Mitigación(es)
Autenticación de Windows
Violación de la Integridad
del sistema
Contraseñas Fuertes
PatchGuard (Vista x64)
User Account Control (Vista)
ASLR (Vista) / DEP
Cifrado de Ficheros
Violación de la integridad
de los Datos / Disclosure
Bitlocker (Vista)
DRM
Filtro Antiphishing (IE 7)
Phishing
Spam
Malware
Antispam en Outlook / Exchange
Prevención, detección y eliminación de
malware
Malware
Existen muchas formas de malware
Software Malicioso (Worm / virus / Troyanos)
Software NO deseado (spyware / adware)
Comportamiento o modo de actuación
Vector de Replicación (email / P2P / IM / network)
Exploit de una vulnerabilidad de software
Ingenieria Social
Backdoor
Robo de contraseñas
Polymorfico
Rootkit
Payload ( borrado de disco duro, documentos, flash BIOS, etc.)
El modo de implementarlo depende de la motivación del autor
Existen varias fuentes de código para malware
Los atacantes hacen pruebas frente a los productos de seguridad
Historia de Microsoft
1992: Fundación de GeCAD
Junio 2003: Microsoft adquiere los derechos de PI de GeCAD
Enero 2004: Herramientas de limpieza para ayudar con los
ataques de virus
Deciembre 2004 : Adquisición de la compañía de software Giant
Enero 2005: Lanzamiento del Malicious Software Removal Tool
Enero 2005: Lanzamiento de Windows Antispyware (Beta 1)
Febrero 2006: Lanzamiento de Windows Defender (Beta 2)
Número de dias transcurridos entre la publicación del update de seguridad y el
impacto del virus
502
Win32
Linux/Unix
336
336
208
185
58
53
31
11
Nombre
del Virus
Slammer
BugBear
Slapper
Ramen
Klez
Lion
Scalper
Nimda
CodeRed
27
Blaster
Malicious Software Removal Tool
Objetivos
Reducir el Impacto del malware en usuarios Windows
Entender las tendencias del malware
Distribución
Windows Update
Centro de Descargas
Sitio Web
Reporte disponible públicamente
http://www.microsoft.com/downloads/details.aspx?displaylang=es&Famil
yID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9
Actividad de MSRT
3.000.000.000
2.250.000.000
1.500.000.000
750.000.000
0
2.7 billones de ejecuciones
270 millones de equipos
Resultados MSRT
(millions)
16
5,7
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
16 millones de infecciones
5.7 millones de equipos infectados
1 infección cada 311
Reducción del Impacto
50-74%; 12
25-49%; 7
Decremento; 50
0-24%; 6
Incremento; 3
75-100%; 25
Entender las tendencias
Tipo de Malware (miles de equipos)
3.538
1.151
592
238
Instant
Messaging
Worm
641
781
372
Virus
Exploit
Worm
P2P Worm
Rootkit
Mass
Mailing
Worm
Backdoor
Trojans
Troyanos de puerta trasera son la amenaza mas
significante y mas creciente
Los Rootkits son una amenaza emergente
Ingeniería Social 35%
Como ayuda Vista
Contra el Malware..
Prevención
Aislamiento
Remedios
Prevención
Amenaza
Tecnología en Vista
Vulnerabilidad de Software
•Ciclo de desarrollo seguro
•Actualizaciones Automáticas
•Windows Firewall/IPSec
•Data Execution Protection
•Address Space Layout Randomization
Ingeniería Social
•User Account Control
•Windows Defender
Vulnerabilidad de la Política
•Contraseña de Administrador en Blanco
•Firma de drivers en 64 bit
•Política de Firewall por Red
Aislamiento
Amenaza
Tecnología en Vista
Comportamiento del Sistema
Integridad de Sistemas de 64-bit
Recursos del Sistema
Fortificación de Servicios
Firewall Bidireccional
IE Protected Mode
Configuración del Sistema
User Account Control
Windows Defender
Remedios
Amenaza
Tecnología en Vista
Estado de la Seguridad
Centro de Seguridad de Windows
Limpieza de Spyware
Windows Defender
Limpieza de Virus
Windows Malicious Software Removal Tool
Protección de la Memoria
Data Execution Protection
Address Space Layout Randomization
Stack
Code
Locals
Windows Code
Return Address
LoadLibrary()
Parameters
Library Code
Previous Frames
Application Code
DEP
ASLR
Integridad de Sistemas de 64 bit
Application
CreateFile()
Kernel32.dll
CreateFileW()
Interrupt Dispatch Table
Global Descriptor Table
System Service Dispatch Table
ntdll.dll
ZwCreateFile()
Interrupt Dispatch Table
System Service Dispatch Table
NtCreateFile()
2E
Cambio fundamental en la operativa
de Windows
Hace que el sistema funcione bien como un usuario
estándar
Proporciona un método seguro para ejecutar aplicaciones
en un contexto elevado
Requiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar
compatibilidad.
Escrituras en el registro de la maquina son redirigidas a
localizaciones de usuario si el usuario no tiene privilegios
administrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones
que necesitan cuentas de administración de manera segura.
Protección de cuentas Usuario
UAC (User Account Control)
Nos ayuda a implementar el principio de menor
privilegio de dos maneras distintas:
1.
El usuario no necesita tener privilegios
administrativos para realizar ciertas tareas para las
que se necesitas esos privilegios – En cambio:
Se le pregunta al usuario por credenciales con mas
privilegios
2.
Aunque el usuario tenga privilegios superiores(
Ejem. un administrador), se le pregunta al usuario
por su consentimiento antes de que esos derechos
sean ejercitados
No se necesita volver a proporcionar las credenciales,
solo se necesita el consentimiento
Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx
Internet Explorer 7
Además de ser compatible con UAC, incluirá:
Modo Protegido que solo permite a IE navegar sin mas
permisos, aunque el usuario los tenga. Ejem. Instalar
software
Modo de “Solo-lectura”, excepto para los ficheros temporales
de Internet cuando el navegador esta en Zona de seguridad de
Internet
Filtro contra Phising que actualiza Microsoft cada poco
tiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles
Activex
Todos los datos de cache se eliminan con un solo click
MIC & UIPI
Mandatory Integrity Control (MIC).
Una aplicación no puede acceder a datos que tengan
un Nivel de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE
donde se les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en
su testigo de acceso
User Interfacer Privilege Isolation (UIPI)
Bloquea el acceso de procesos con Nivel de
Integridad inferior a procesos con Nivel de Integridad
superior.
Filtro anti-Phishing
Protección dinámica contra Webs Fraudulentas
Realiza 3 chequeos para proteger al usuario de
posibles timos:
1. Compara el Sitio Web con la lista local de sitios legítimos conocidos
2. Escanea el sitio Web para conseguir características comunes a los
sitios con Phising
3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios
reportados que se actualiza varias veces cada hora
Dos niveles de Aviso y protección en la barra de
estado de IE7
Level 1: Warn
Level 2: Block
Suspicious Website
Signaled
Confirmed Phishing Site
Signaled and Blocked
Windows Defender
Monitorización
Detección
Limpieza
Software Explorer
SpyNet
Monitorización
Automatic Startup Entry Points (ASEPs)
Configuración del Sistema
Internet Explorer
Configuracion
Add-ons
Descargas
Servicios y Drivers
Ejecución de Aplicaciones
Registro de Aplicaciónes
Windows Add-ons
Detección
Motores compartidos
Formatos de ficheros
Contenedores (zip, rar, etc)
Empaquetadores de Ficheros (upx, aspack)
Muchos formatos estándar
Metodos de Detección
Hash simple de fichero( MD5, SHA1, CRC)
Multi-CRC
Firmas de Rootkits en modo usuario
Detección genérica
Emulación
Heurística
Limpieza
Scripting language
Claves del registro
Ficheros
Modificación del fichero Host
Software Explorer
En ejecución
Programas de Inicio
Servicios
Drivers
SpyNet
Ayuda a priorizar la creación de firmas
Se envía información
Información del fichero
Engine / signature versions
Voting data
Información Demografica
Cifrado de datos
Basico vs Avanzado – PII
Opcional
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S.
and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because
Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any
information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS
PRESENTATION.

Documentos relacionados