2019/04/26

FLISOL 2019

He tenido la oportunidad asistir a medias a dos flisoles y de dar una charla en ambas, paso a compartir la experiencia y las notas de la charla.



Avellaneda

Sólo pude asistir a la de Marcos Russo de centrux de Docker, me hubiera gustado que fuera más demo que presentación, entendiendo que habiendo conectividad dudosa se complica preparar el entorno para hacerla off-line.


CABA

Sólo pude asistir a la de Tor, que se convirtió más en meetup que la exposición planeada por que ocurrió una turbia circunstancia que impidió que quienes iban a exponer pudieran hacerlo. Pese a que no tengo información completa de lo que ocurrió, por lo cual no voy a decir nada más que lo que voy a decir, mi intuición me dice que fué un acto de malicia intencional.

Charla de ponderación y clasificación de vulnerabilidades


El objetivo como siempre es estimular el pensamiento atacante/defensor propio de la seguridad de la información, con la variedad de tener herramientas no tan subjetivas para evaluar como lidiar con la vulnerabilidades.

No voy a transcribir el contenido completo, ni pegar la presentación, es más bien un machete con las ideas principales y los links, útil para quien asistió y no tomó nota o por si la diera otra vez (lo dudo, la dí seis veces en el trabajo, ya me aburrió y creo que ya asistieron todas las personas a las que les podía interesar) tengas elementos para evaluar si te interesa asistir.


Dado el tiempo disponible de sólo la mitad no pude hacer los ejercicios que hago en el trabajo pero mejor, no creo que quienes están buena parte del día en el evento se aguanten dos horas de este tema.

Algunas definiciones



Falla: comportamiento no previsto

Amenaza: algo que puede dañar

Vulnerabilidad: defecto en un sistema que lo deja expuesto ante una amenaza

Vulnerabilidad: es una falla explotable




Riesgo: probabilidad de que el daño se produzca

Y esta es el primer acercamiento a medir una Vulnerabilidad:

Riesgo = Amenaza * Vulnerabilidad

Gestión de riesgo


  • Mitigar
  • Asumir
  • Transferir
  • Evitar
  • Ignorar (*)
  • No gestionar (*)

Las dos últimas no figuran en los libros pero si en la realidad y se las suele confundir con "Asumir".

Una pisca de teoría de Seguridad de la Información


  • Confidencialidad
  • Integridad
  • Disponibilidad
Esas tres palabrìtas son la base de la S.I., como armonìa, melodía y ritmo para la música y nos llevan al segundo acercamiento a medir algo:

Riesgo = consecuencia * probabilidad

Riesgo = (C + I + D) *(amenaza * exposición)

Se le da un valor entre 0 y 1 a cada aspecto.


Algunos métodos útiles para reflexionar

 

DREAD

Damage – how bad would an attack be?
Reproducibility – how easy is it to reproduce the attack?
Exploitability – how much work is it to launch the attack?
Affected users – how many people will be impacted?
Discoverability – how easy is it to discover the threat?



Se le pone a cada item un valor de 1 a 10.

Lo usó Microsoft hasta 2008.


Más detalles:  https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model)

STRIDE

Threat Desired property
Spoofing Authenticity
Tampering Integrity
Repudiation Non-repudiability
Information disclosure Confidentiality
Denial of Service Availability
Elevation of Privilege Authorization



Fijage que en la columna de atributos deseados aparecen Confidencialidad, Integridad y Disponibilidad, sumándose autenticación, autorización y no repudio, que forman los seis conceptos básicos de la S.I.


Mas detalles: https://en.wikipedia.org/wiki/STRIDE_(security)

Detección de vulnerabilidades

  • Modelado
    • attack tree, data flow, stride, que pasa si...
  • Pentesting
    • white vs gray vs black box
    • perimetral (automática, infraestructura)
  • Análisis estático de código
  • in the wild
  • reportes ajenos


 CVSS V3


Y por fín, la medición actual, a leer:

https://www.first.org/cvss/calculator/3.0


Esta dividido en tres regiones:

Base: es la calificación de la vulnerabilidad "en el aire", sin relación con lo que la rodea, es atemporal, una vez definida no debería cambiar salvo se descubra un error.

Temporal: es una modificación introducida por la evolución en el tiempo de los exploits que hayan, la confirmación y corrección oficial

Entorno: es la aplicación en un entorno particular y considerando los requerimientos relativos a CID.

La clave de este tema es entender que el nucleo está conformado por el impacto en la Confidencialidad, Integridad y Disponibilidad.


Clasificación

 

Para mi hay distintas categorías de clasificación:

"Muertas", o sea, es un amontonamiento de información histórica y "Vivas", se van adaptando al momento, priorizan según algún criterio de frecuencia y éxito.


No hay comentarios:

Publicar un comentario