Avellaneda
Sólo pude asistir a la de Marcos Russo de centrux de Docker, me hubiera gustado que fuera más demo que presentación, entendiendo que habiendo conectividad dudosa se complica preparar el entorno para hacerla off-line.CABA
Sólo pude asistir a la de Tor, que se convirtió más en meetup que la exposición planeada por que ocurrió una turbia circunstancia que impidió que quienes iban a exponer pudieran hacerlo. Pese a que no tengo información completa de lo que ocurrió, por lo cual no voy a decir nada más que lo que voy a decir, mi intuición me dice que fué un acto de malicia intencional.Charla de ponderación y clasificación de vulnerabilidades
El objetivo como siempre es estimular el pensamiento atacante/defensor propio de la seguridad de la información, con la variedad de tener herramientas no tan subjetivas para evaluar como lidiar con la vulnerabilidades.
No voy a transcribir el contenido completo, ni pegar la presentación, es más bien un machete con las ideas principales y los links, útil para quien asistió y no tomó nota o por si la diera otra vez (lo dudo, la dí seis veces en el trabajo, ya me aburrió y creo que ya asistieron todas las personas a las que les podía interesar) tengas elementos para evaluar si te interesa asistir.
Dado el tiempo disponible de sólo la mitad no pude hacer los ejercicios que hago en el trabajo pero mejor, no creo que quienes están buena parte del día en el evento se aguanten dos horas de este tema.
Algunas definiciones
Falla: comportamiento no previsto
Amenaza: algo que puede dañar
Vulnerabilidad: defecto en un sistema que lo deja expuesto ante una amenaza
Vulnerabilidad: es una falla explotable
Riesgo: probabilidad de que el daño se produzca
Y esta es el primer acercamiento a medir una Vulnerabilidad:
Riesgo = Amenaza * Vulnerabilidad
Gestión de riesgo
- Mitigar
- Asumir
- Transferir
- Evitar
- Ignorar (*)
- No gestionar (*)
Las dos últimas no figuran en los libros pero si en la realidad y se las suele confundir con "Asumir".
Una pisca de teoría de Seguridad de la Información
- Confidencialidad
- Integridad
- Disponibilidad
Riesgo = consecuencia * probabilidad
Riesgo = (C + I + D) *(amenaza * exposición)
Se le da un valor entre 0 y 1 a cada aspecto.
Algunos métodos útiles para reflexionar
DREAD
Damage – how bad would an attack be?Reproducibility – how easy is it to reproduce the attack?
Exploitability – how much work is it to launch the attack?
Affected users – how many people will be impacted?
Discoverability – how easy is it to discover the threat?
Se le pone a cada item un valor de 1 a 10.
Lo usó Microsoft hasta 2008.
Más detalles: https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model)
STRIDE
| Threat | Desired property |
| Spoofing | Authenticity |
| Tampering | Integrity |
| Repudiation | Non-repudiability |
| Information disclosure | Confidentiality |
| Denial of Service | Availability |
| Elevation of Privilege | Authorization |
Fijage que en la columna de atributos deseados aparecen Confidencialidad, Integridad y Disponibilidad, sumándose autenticación, autorización y no repudio, que forman los seis conceptos básicos de la S.I.
Mas detalles: https://en.wikipedia.org/wiki/STRIDE_(security)
Detección de vulnerabilidades
- Modelado
- attack tree, data flow, stride, que pasa si...
- Pentesting
- white vs gray vs black box
- perimetral (automática, infraestructura)
- Análisis estático de código
- in the wild
- reportes ajenos
CVSS V3
Y por fín, la medición actual, a leer:
https://www.first.org/cvss/calculator/3.0
Esta dividido en tres regiones:
Base: es la calificación de la vulnerabilidad "en el aire", sin relación con lo que la rodea, es atemporal, una vez definida no debería cambiar salvo se descubra un error.
Temporal: es una modificación introducida por la evolución en el tiempo de los exploits que hayan, la confirmación y corrección oficial
Entorno: es la aplicación en un entorno particular y considerando los requerimientos relativos a CID.
La clave de este tema es entender que el nucleo está conformado por el impacto en la Confidencialidad, Integridad y Disponibilidad.
Clasificación
Para mi hay distintas categorías de clasificación:
"Muertas", o sea, es un amontonamiento de información histórica y "Vivas", se van adaptando al momento, priorizan según algún criterio de frecuencia y éxito.
- Muertas
- Taxonomías
- Enumeraciones
- Vivas
No hay comentarios:
Publicar un comentario