Security Session #1

Las security sessions son un espacio para hablar y aprender de ciberseguridad.
Vemos varias cosas por session y lo importante es que todos aprendan algo!
A continuación un key note de lo que se habló en la session 1.

Las sessions se dividen en 3 partes:

TeoricoTeorico-practicoPractico

Esta intro en necesaria para todas aquellas personas que quieran arrancar su carrera en ciberseguridad. Los dominios son muy amplios, es importante que los conozcamos para saber hacia donde queremos ir y, si nos llegara a pasar que nos equivocamos de camino, saber para donde apuntar y que conocimientos necesitamos adquirir.

Carreras en ciber: son muchas las variantes y escribí al respecto en mi blog — siempre desde mi punto de vista y experiencia —

https://medium.com/@mon.cybersec/los-roles-en-ciberseguridad-6d27ee277203

https://rafeeqrehman.com/wp-content/uploads/2024/03/CISO_MindMap_2024-2.png

Recurso Compartido por Mery de BugBountyGirlsClub

White Hat — Grey Hat — Black Hat

Los atacantes autorizados, también conocidos como hackers “de sombrero blanco”, son los que tienen permiso para buscar fallas de seguridad en los sistemas y reportarlas con el fin de que se resuelvan. Pueden ser empleados de una empresa o ser contratados como servicios tercearizados.

Por otro lado, están los atacantes no autorizados, o hackers “de sombrero negro”, que son los que tienen malas intenciones. Estos buscan romper la seguridad de los sistemas para robar información, modificarla o hacer que deje de funcionar, trabajan en estafas, etc. “Ciberdelincuentes”.

Y en el medio, están los atacantes semiautorizados, o hackers “de sombrero gris”. Estos actúan sin permiso, pero su intención es avisar a la empresa sobre las fallas de seguridad que encuentran.

Luego en esta categoría vamos a poder hablar de distintos “actores”: hacktivistas, crimen organizado, entre otros.

Antes de empezar a ver lo “divertido” necesitamos revisar algunos conceptos y entender algunos fundamentos. La idea no es verlos a todos en profundidad en esta session porque para eso necesitamos más tiempo pero la idea es dejar “mapeado” que es lo que debemos ir aprendiendo y entendiendo con el tiempo. Lo importante también es no abrumarnos porque es mucha info.

Algunas cosas que iremos viendo en las sessions:

Fundamentos de RedesFundamentos de WebFundamentos de LinuxFundamentos de Windows

Los profesionales en seguridad informática son los responsables de proteger la confidencialidad, integridad y disponibilidad de la información y los sistemas informáticos que utilizan las empresas.

Para cumplir con esta responsabilidad, se necesita:

Conocer el panorama de amenazasDiseñar e implementar controles de seguridadConfidencialidad: garantiza que solo las personas o destinatarios previstos puedan acceder a ciertos datos. La confidencialidad garantiza que las personas no autorizadas no puedan acceder a información sensible.Integridad: garantiza que no haya modificaciones no autorizadas en la información o los sistemas, ya sea intencionalmente o no.Disponibilidad: tiene como objetivo garantizar que el sistema o servicio esté disponible cuando se necesite.

Imaginate que la seguridad es como un candado con tres llaves:

1. Confidencialidad (la llave secreta): Solo vos tenés la llave para abrir el candado y ver lo que hay adentro. Es como tu clave del cajero automático: solo vos la sabés y nadie más puede sacar tu plata. En internet, esto significa que nadie puede ver tus datos personales, como tu dirección o tu número de tarjeta de crédito, cuando comprás online.

2. Integridad (la llave que no se rompe): El candado está hecho de un material súper resistente que nadie puede romper. Esto significa que nadie puede cambiar la información que está guardada. Por ejemplo, cuando hacés una transferencia bancaria, nadie puede cambiar el número de cuenta o la cantidad de plata que estás enviando.

3. Disponibilidad (la llave que siempre funciona): El candado siempre funciona bien, nunca se traba. Esto significa que siempre podés acceder a la información cuando la necesitás. Por ejemplo, cuando querés ver tu saldo en el homebanking, el sistema tiene que estar funcionando para que puedas entrar.

Veamos algunos ejemplos de la vida real en Argentina:

Comprar en Mercado Libre:Confidencialidad: Tu número de tarjeta de crédito solo lo ve Mercado Pago, no el vendedor ni otras personas.Integridad: Nadie puede cambiar el precio del producto que estás comprando ni la cantidad que pediste.Disponibilidad: La página de Mercado Libre tiene que estar funcionando para que puedas buscar productos y hacer tu compra.Sacar turno en el hospital:Confidencialidad: Solo el médico y vos pueden ver tu historia clínica.Integridad: Nadie puede cambiar los resultados de tus análisis o la medicación que te recetaron.Disponibilidad: El sistema de turnos tiene que estar funcionando para que puedas sacar un turno con el médico.

Para entender mejor la seguridad en internet, vamos a agregar dos llaves más a nuestro candado:

4. Autenticidad (la llave original): Esta llave tiene una marca especial que la hace única y verdadera. Es como el sello de un documento importante: te asegura que es real y no una copia falsa. En internet, esto significa que podés estar seguro de que un mensaje o un archivo viene de la persona que dice haberlo enviado, y no de un impostor.

5. No repudio (la llave que deja huella): Esta llave deja una marca especial cada vez que se usa, como una firma. Así, nadie puede decir que no fue él quien abrió el candado. En internet, esto significa que si alguien hace una compra online o envía un mensaje, no puede después decir que no lo hizo.

Ejemplos:

Comprar una casa:Autenticidad: Tenés que verificar que la escritura de la casa sea real y no una falsificación.No repudio: El vendedor firma la escritura y no puede después decir que no la vendió.

La importancia de aplicar seguridad en distintas áreas se ve representado en el siguiente listado:

Protección de datos sensibles (Data Breaches)Proteger la privacidad de los usuarios reputación y confianzaCumplimiento de regulaciones y leyesGarantizar la disponibilidad de los serviciosEvitar pérdidas económicas, entre muchos otros.

El mindset o la mentalidad con la que tomemos el hacking, es clave. Es ponernos en ese lugar que nos va a aportar creatividad, formas de resolver ciertos problemas y dar resultados increibles. Este mindset se compone (mas o menos) de lo siguiente:

Curiosidad constante: entender cómo funcionan los sistemas y tecnologías, investigando a fondo cada detalle. Buscar, buscar, buscar y aprender.Creatividad: pensar “fuera de la caja” para encontrar soluciones innovadoras a problemas de seguridad complejos o ponerse en los zapatos de alguien que tiene un fin malintencionado.Pensamiento crítico: analizar los sistemas desde diferentes ángulos, buscando posibles vulnerabilidades que otros podrían pasar por alto.Ética profesional: es posible tener un mindset en hacking que siga principios éticos, respetando la privacidad y los límites legales en lo que hacemos.Documentamos! registramos nuestros hallazgos y procedimientos para ayudar a mejorar la seguridad.

Diferencias principales entre Bug Bounty Hunting y Pentesting:

Bug Bounty:

Se enfoca en encontrar vulnerabilidades específicas que tengan un impacto demostrableEl alcance suele ser más amplioSe paga por vulnerabilidad encontrada (recompensa)

Pentesting:

Evalúa la seguridad general del sistemaAlcance definido y limitado por contratoPago fijo por el servicio completo

Bug Bounty:

Trabajo independiente y competitivoSin límite de tiempo específicoMayor libertad en las técnicas utilizadas

Pentesting:

Trabajo estructurado y metodológicoTiempo definido por contratoMetodologías y procedimientos establecidos

Bug Bounty:

Reportes individuales por vulnerabilidadComunicación principalmente a través de plataformas de bug bountyEnfoque en la prueba de concepto (PoC)

Pentesting:

Reporte completo y detallado de toda la evaluaciónComunicación directa con el clienteIncluye recomendaciones y plan de remediaciónOWASP (Open Web Application Security Project): Organización sin fines de lucro que proporciona recursos y herramientas para la seguridad de aplicaciones web. Su Top 10 es una referencia estándar para las vulnerabilidades web más críticas. URL: https://owasp.org/CWE (Common Weakness Enumeration): Lista estandarizada de debilidades de software. Sirve como lenguaje común para identificar y categorizar vulnerabilidades de seguridad. URL: https://cwe.mitre.org/SANS Top 25: Clasificación de los errores de programación más peligrosos que pueden llevar a vulnerabilidades de seguridad. Desarrollado por SANS Institute y MITRE. URL: https://www.sans.org/top25-software-errors/ISO 27001: Estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Define requisitos para establecer, implementar y mejorar continuamente un SGSI. URL: https://www.iso.org/isoiec-27001-information-security.htmlNIST Cybersecurity Framework: Marco de trabajo que proporciona directrices para la gestión y reducción del riesgo de ciberseguridad. Organizado en cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperar. URL: https://www.nist.gov/cyberframeworkCIS Controls: Conjunto de acciones priorizadas para proteger organizaciones y datos contra ataques cibernéticos. Desarrollado por el Center for Internet Security. URL: https://www.cisecurity.org/controls

1. Parches y actualizaciones de seguridad:

Es crucial mantener todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad. Generalmente se busca explotar vulnerabilidades conocidas, y los parches las corrigen.

2. Principio de mínimo privilegio:

Es importantisimo otorgar a los usuarios solo los permisos necesarios para realizar su trabajo.

3. Código seguro (validación y sanitización de entradas):

Muchos ataques se aprovechan de errores en el código para inyectar comandos maliciosos. La validación y sanitización de entradas de datos previene estos ataques, como un filtro que solo deja pasar agua limpia.

4. Almacenamiento seguro de datos (encriptar datos en reposo):

Si alguien accede a la base de datos, el cifrado hace que la información sea ilegible sin la clave de descifrado.

5. Autenticación multifactor (MFA):

Usar múltiples métodos de autenticación para verificar la identidad del usuario. Esto dificulta el acceso a las cuentas incluso si la contraseña se ve comprometida.

6. Registro y monitoreo:

Registrar las actividades en los sistemas y monitorearlos para detectar anomalías.Los registros (logs) permiten rastrear lo que sucede en el sistema y detectar actividades sospechosas. El monitoreo ayuda a identificar y responder a incidentes de seguridad.

7. Capacitación de usuarios:

Los usuarios son a menudo el eslabón más débil en la cadena de seguridad. La capacitación les ayuda a reconocer ataques de phishing, evitar el uso de contraseñas débiles y proteger la información confidencial, como enseñarles a los empleados a cerrar con llave las puertas y ventanas para prevenir robos.

Hay muchisimas prácticas más. Este es solo un breve listado.

Hands On:

En esta actividad buscamos levantar nuestra primer máquina virtual con un Kali. Ver el documento con el paso a paso.

Nos vemos en la próxima session!