Security On Site I Chema Alonso MVP Windows Server Security Informática 64 chema@informatica64.com.

Presentación del tema: "Security On Site I Chema Alonso MVP Windows Server Security Informática 64 chema@informatica64.com."— Transcripción de la presentación:

1 Security On Site I Chema Alonso MVP Windows Server Security Informática 64

2 Agenda Principios de Seguridad Ataques a Sistemas
Actualizaciones de Seguridad Seguridad en Servidores Seguridad en Clientes

3 Principios de Seguridad

4 Seguridad La seguridad depende de 3 factores: Procesos: Personas
Procedimientos y operaciones en nuestros entornos Personas Poca formación Tecnología: Estándares (TCP/IP) Productos de los fabricantes (IIS,Apache) Desarrollos personales

5 ¿Porque Atacan? Hacer Daño Motivos Personales Motivos Financieros
Alterar, dañar or borrar información Denegar servicio Dañar la imagen pública Motivos Personales Desquitarse Fundamentos políticos o terrorismo Gastar una broma Lucirse y presumir Motivos Financieros Robar información Chantaje Fraudes Financieros The bullets are just examples of the three main motives. Be sure to exemplify most of them. Invite participants to come up with other motives and see if they fit into the three top categories. There’s no direct relationship between threats and motives, basically any mix is possible. However, the teen hackers are mostly hacking for personal motives. Criminals almost exclusively do it for economic gain.

6 Impacto de los Ataques Pérdida de Beneficios Daños en la reputación
Security breaches affect organizations in a variety of ways. They often result in the following: Loss of revenue Damage to the reputation of the organization Loss or compromise of data Interruption of business processes Damage to customer confidence Damage to investor confidence Legal Consequences -- In many states/countries, legal consequences are associated with the failure to secure the system—for example, Sarbanes Oxley, HIPAA, GLBA, California SB 1386. Security breaches can have far-reaching effects. When there is a perceived or real security weakness, the organization must take immediate action to ensure that the weakness is removed and the damage is limited. Many organizations now have customer-facing services—for example, websites. Customers may be the first people to notice the result of an attack. Therefore, it is essential that the customer-facing side of the business be as secure as possible. Deterioro de la confianza de los inversores Datos comprometidos Daños en la confianza de los clientes Interrupción de los procesos de Negocio Consecuencias legales (LOPD/LSSI)

7 Bug Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870. Fuente: Wikipedia en Español

8 Exploit Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software. Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyeccion de caraceres (CRLF). Fuente: Wikipedia en Español

9 Payload In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not. Fuente: Wikipedia

10 Software Seguro El software Fiable es aquel que hace lo que se supone que debe hacer. El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. Son los sorprendentes “algo mas” los que producen inseguridad. Para estar seguro, debes de ejecutar solo software perfecto :-) O, hacer algo para mitigar ese “algo mas” Doing Something Code Auditing: static or dynamic analysis of programs to detect flaws, e.g. ITS4 and friends Vulnerability Mitigation: compiled in defense that block vulnerability exploitation at run-time, e.g. StackGuard and friends Behavior Management: OS features to control the behavior of programs Classic: mandatory access controls Behavior blockers: block known pathologies

11 Código y poder El código fuente es poder
Tanto para defenderse como para atacar Compartir el código es compartir el poder. Con los atacantes y defensores Publicar el código fuente sin hacer nada más degrada la seguridad Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

12 Proceso explotación Vulnerabilidad
1.- Se descubre una vulnerabilidad a) Por el fabricante b) Por un tercero 2.- Se aprende a explotarlo a) Ingeniería inversa de Código b) Ingeniería inversa de Patch 3.- Se usa un Payload para automatizar

13 Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus
Win32 Linux/Unix Nombre del Virus Slammer BugBear Slapper Ramen Klez Lion Scalper Nimda CodeRed Blaster Riesgo Impacto tiempo

14 Vulnerabilidades http://www.securityfocus.com/bid Es difícil engañar
Mirar versión apache que salio cuando IIS 6.0 comparar vulnerabilidades. Windows 2003 con IIS 6.0 Salio el 24 abril de Hace casí dos años. Solo tiene 2 vulnerabilidades. En Abril 2003 salio apache 2.050

15 Sofisticación de los Ataques vs. Conocimientos requeridos
Nail down source of slide (FBI/CSI?)

16 Ataques a Sistemas

17 Ataque: Envenenamiento ARP

18 Técnicas de Spoofing Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

19 Niveles Afectados Nombres de dominio Direcciones de correo electrónico
Nombres de recursos compartidos SERVICIO RED Dirección IP ENLACE Dirección MAC

20 Tipos de técnicas de Spoofing
Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

21 Ataque ARP Man In The Middle
esta en 99:88:77:66:55:44 esta en 99:88:77:66:55:44 ¿Quien tiene ? esta en 00:11:22:33:44:55:66

22 Protección contra Envenenamiento
Medidas preventivas. Cifrado de comunicaciones. IPSec. Cifrado a nivel de Aplicación: S/MIME. SSL. Certificado de comunicaciones.

23 Protección contra Envenenamiento
Medidas reactivas. Utilización de detectores de Sniffers. Utilizan test de funcionamiento anómalo. Test ICMP. Test DNS. Test ARP. Sistemas de Detección de Intrusos

24 Frase vs. Passwords ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●

25 Ataque: SQL – Injection

26 Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios Text Password Textarea List multilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

27 Riesgos Permiten al atacante: Saltar restricciones de acceso.
Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor.

28 Tipos de Ataques Ejemplo 1:
Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=‘$usuario’ And clave=‘$clave’; Usuario Clave ****************

29 Tipos de Ataques Ejemplo 1 (cont) Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’ And clave=‘’ or ‘1’=‘1’; Usuario Administrador Clave ‘ or ‘1’=‘1

30 Tipos de Ataques Ejemplo 2:
Acceso a información con procedimientos de listado. Ó

31 Tipos de Ataques Ejemplo 2 (cont):
union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown -- Ó union select .....; otra instrucción; --

32 Contramedidas No confianza en medias de protección en cliente.
Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

33 Ataque: Cross-Site Scripting (XSS)

34 Explotación del Ataque
Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

35 Riesgos Ejecución de código en contexto de usuario que visualiza datos. Navegación dirigida Webspoofing Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

36 Tipos de Ataques Mensajes en Foros. Firma de libro de visitas.
Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

37 Contramedidas Fortificación de aplicación Fortificación de Clientes
Comprobación fiable de datos Fortificación de Clientes Ejecución de clientes en entorno menos privilegiado. Fortificación de navegador cliente. MBSA. Políticas.

38 Ataque: Troyanos “Hay un amigo en mi”

39 Definición Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros. Los Hackers lo llaman “Boyfriend”. Mil formas, mil colores, mil objetivos.

40 Obtención de Privilegios
El programa corre sobre nuestra máquina. Corre con una identificación de usuario del sistema. Debe obtener privilegios para poder ejecutarse. ¿Cómo los obtiene?

41 Obtención de Privilegios
Fallo en la cadena: Procesos: Sistema no cerrado. Tecnología: Fallo en sw de sistema operativo Fallo en sw ejecución de códigos. Personas: Ingeniería Social: “¡Que lindo programita!” Navegación privilegiada

42 Objetivos Control remoto: Robo de información
Instalan “suites” de gestión del sistema. Robo de información Modificación del sistema: Phishing Creación de usuarios Planificación de tareas ....

43 Instalación del Troyano
Se suele acompañar de “un caballo” para tranquilizar a la víctima. Se añaden a otro software. EJ: Whackamole Joiners, Binders Incluidos en documentos que ejecutan código: Word, excel, swf, .class, pdf, html, etc...

44 Instalación del Troyano
Simulando ser otro programa P2P, HTTP Servers Paquetes Zip autodescomprimibles Programas con fallo de .dll Instaladores de otro SW

45 Troyanos “Comerciales”
Su difusión es extrema. Se han hecho famosos debido a su extensión. Suelen ser utilizados por principiantes Casi todos los sistemas Anti-Malware son capaces de detectarlos. Aún así siguen siendo útiles porque mutan.

46 Algunos Back Orifice NetBus NetDevil SubSeven Ptakks ......

47 Detección de Troyanos Anti-Mallware Comportamiento anómalo del sistema
Antivirus AntiSpyware Comportamiento anómalo del sistema Configuraciones nuevas Cambio en páginas de navegación Puertos ....

48 Prevención contra Troyanos
Defensa en Profundidad Mínimo Privilegio Posible Mínimo punto de exposición Gestión de updates de seguridad Antivirus/AntiSpyware Ejecución controlada de programas Navegación segura

49 Ataque: RootKits “Los Otros”

50 Definición Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.

51 ¿Que es un RootKit? Originalmente – Fichero Troyano con una puerta trasera Cambia ficheros, ejmp., netstat.exe Pueden ser detectados con herramientas tipo “Tripwire” Hoy en día – La mayoría de los “RootKits” tienen componentes en modo Kernel Trastornan el TCB “Trusted Computer Based” Ocultan cosas Otras capacidades Difíciles de detectar y eliminar Premisa: El atacante lo puede instalar de manera directa o indirecta. rootkit is a collection of tools an intruder brings along to a victim computer after gaining initial access. A rootkit generally contains network sniffers, log-cleaning scripts, and trojaned replacements of core system utilities such as ps, netstat, ifconfig, and killall. Although the intruders still need to break into a victim system before they can install their rootkits, the ease-of-use and the amount of destruction they cause make rootkits a big threat for system administrators. The main purpose of a rootkit is to allow intruders to come back to the compromised system later and access it without being detected. A rootkit makes this very easy by installing a backdoor remote-access daemon, such as a modified version of telnetd or sshd. These will often run on a different port than the one that these daemons listen on by default. Most rootkits also come with modified system binaries that replace the existing ones on the target system. At a minimum, core binaries such as ps, w, who, netstat, ls, find, and other binaries that can be used in monitoring server activity, are replaced so intruders and the processes they run are invisible to an unsuspecting system administrator. Because most rootkits will mimic the creation dates and file sizes of the original system binaries while replacing them with infected versions, keeping records of these file statistics is not sufficient. Thus, the best way to make an inventory of system file information that can be used to identify suspicious activities on the server is to calculate the cryptographic checksums of these files and store this information in a safe location, such as on a CD. Third-party tools such as Tripwire or AIDE make this process much easier and more robust by automating the calculation of these file signatures. Here's a quick explanation of Tripwire from the organization's web site: "Tripwire is a tool that checks to see what has changed on your system. The program monitors key attributes of files that should not change, including binary signature, size, expected change of size, etc." Rootkits are applications hackers install (or social engineer you into installing) in order to obtain control of the computer and basically do anything they want to on it. Rootkits have their roots (pun intended) in UNIX but are becoming more popular in Windows with rootkits such as FU and the AFX Windows Rootkit The programs tie into the OS allowing hackers to modiy system environment variables, hide malicious code in commonly used system programs, hide system processes and more. There are a few basic ways to identify them: Use anti-spyware tools such as PestPatrol and SpyBot to detect the files loaded onto the system. Manually run MD5 hashes on system files and compare them to known good ones. Use host-based IDS software such as Tripwire to detect file changes. Use personal firewall software application protection to detect malicious network communications going out of the computer. Use a network analyzer and inspect protocols used, and even the packets entering or leaving the host for malicious behavior.

52 Breve Historia. A principios de los años 90s, los “RootKits” aparecen por primera vez en el mundo Unix Al final de los 90s, Greg Hoglund y su equipo los introducen por primera vez en los entornos Windows. La creación y la detección de los RootKits continua evolucionando Modo Usuario -> Modo Kernel -> flash RAM Nuevas técnicas en cada nivel

53 ¿Que puede hacer? Esconder:
A si mismo + algo que el intruso quiera. Procesos Ficheros y su contenido Claves y valores del registro Drivers en modo “Kernel” Puertos Sniffing – Trafico de Red, Log de pulsaciones de teclado Elevación de Privilegios - Modificación de los testigos de acceso (access token) Cualquier cosa que un driver o el Sistema Operativo pueda hacer…

54 NtQuerySystemInformation
Interceptación de APIs a nivel de Usuario Aplicación (Ejem., taskmgr, tlist) PSAPI.DLL EnumProcesses Código Malicioso “RootKit” MODO-USUARIO NTDLL.DLL NtQuerySystemInformation MODO-KERNEL NTOSKRNL.EXE

55 NtQuerySystemInformation
Interceptación de APIs a nivel del Núcleo “KERNEL” Aplicación (Ejem., taskmgr, tlist) PSAPI.DLL EnumProcesses MODO-USUARIO NTDLL.DLL NtQuerySystemInformation MODO-KERNEL Código Malicioso “RootKit” NTOSKRNL.EXE

56 Hacker Defender Es el RootKit mas extendido en los sistemas Windows.
Ficha: Autores: Holy_Father Ratter/29A Version: Home Page: Programación: Delphi SO: NT, 2000, XP

57 Objetivo Reescribir algunos segmentos de memoria en todos los procesos que se ejecuten en una máquina para: Esconderse a si mismo y esconder: Ficheros Procesos Servicios de sistema Drivers de sistema Claves y valores del registro Puertos abiertos Engañar con el espacio libre en disco. Enmascarar los cambios que realiza en memoria. Instalar una puerta trasera con tecnología de “redirector” Soporta Procesos “Root”

58 Configuración I Se configura mediante un fichero INI que tiene los siguientes campos: [Hidden Table]: Listado de directorios ficheros y procesos que deben ser ocultados [Root Processes]: Procesos que no serán infectados por el RootKit. [Hidden Services]: Servicios que no se listarán [Hidden RegKeys]: Claves del registro ocultas [Hidden RegValues]: Valores del registro ocultos.

59 Configuración II [Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit. [Free Space]: Espacio que se añade a cada disco duro. [Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo OpPorts, FPort, Active Ports, Tcp View etc… [Settings]: 8 valores para configurar diferentes cosas.

60 Detección Lo mejor es no tener que detectarlos, pues no es tarea fácil. Para ello hay que evitar que entren en nuestra máquina: Actualizar los parches del sistema Utilizar antivirus Utilizar firewalls Utilizar Sistemas Operativos modernos Si entran y somos capaces de detectarlos, la única solución fiable es formatear.

61 Detección Lo mas fácil es detectarlo antes de que se instale. (Antivirus, antispyware, etc…) Si ya esta instalado se puede detectar de tres maneras: Casualidad. Cuelgues de la máquina Software AntiRootKit Tripwire. RootkitRevealer de Sysinternals Blacklight de F-Secure Las principales estrategias para poder detectarlos son: Detectar la presencia del propio RootKit. Detectar los recursos que esconden. Hacer de su virtud, su principal debilidad.

62 Técnicas de Detección En Modo - Usuario: En modo – Kernel
Puenteando las intercepciones a las llamadas de la API (escribiendo tus propias API) Detectarlos en modo “Kernel” En modo – Kernel Examinar directamente la estructura de datos en modo Kernel sin hacer llamadas a las APIs Verificación de “KiServiceTable” Verificación de las firmas de las funciones que están en memoria. Ambos se pueden detectar. Herramientas de Debugging:

63 Futuro - Presente Rootkits de BIOS programados con ACPI presentados en BlackHat Conference Enero 2006 Rootkits de BBDD presentados en Microsoft BlueHat Conference 2006 Rootkits VM presentados por Microsoft Research y Universidad Michigan Marzo 2006.

64 Actualizaciones de Seguridad

65 Microsoft Security Response Center
Terminología y Consideraciones acerca de las actualizaciones de Seguridad Update Microsoft Security Response Team Grupo de producto Cliente Descubrimiento vulnerabilidad tiempo Riesgo Microsoft Security Response Center Amenaza Impacto Timpacto Triesgo

66 Herramientas de Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0. Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido. Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema. Existen Zero Day Exploits Auditorias de seguridad No son las únicas que deben hacerse Se deben realizar de forma automática y de forma manual [“artesana”]. Con la visión de un atacante y con la visión del administrador.

67 Auditoría Caja Negra Se realiza desde fuera
Ofrece la visión de un hacker No puede ser ejecutada desde dentro  Falsos positivos No garantiza “Servidor Seguro” No todos los escáner ofrecen los mismos resultados. SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

68 Scanners de Vulnerabilidades
Satan, Saint, Sara Shadow Security Scanner GFI Languard Network Security Scanner Retina Nessus NetBrute, R3X

69 Auditoría Caja Blanca Se realiza internamente
Con privilegios y visualización completa del sistema Se utilizan herramientas proporcionadas por el fabricante o propias MBSA EXBPA MOM 2005 ….

70 Actualizaciones en Microsoft
Security Patch Critical Update Update Hotfix Update Roll-Up Service Pack Patch distribution is the process of distributing patches, updates, hot fixes, and service packs. The following patch releases are defined: Security Patch A security patch is a broadly released fix for a specific product addressing a security vulnerability. A security patch is designated with a severity rating (provided by the Microsoft Security Response Center). Critical Update A broadly released fix for a specific problem addressing a critical, non-security related bug. Update A broadly released fix for a specific problem addressing a non-critical, non-security related bug. Hot fix A collection of one or more files used to address a problem in a product. Hot fixes address a specific customer problem and are only available to customers with a support agreement. Update Rollup A collection of security patches, critical updates, updates, and hot fixes released as a cumulative offering or targeted at a single product component, such as Internet Information Services (IIS) and Microsoft Internet Explorer. Service Pack A cumulative set of security patches, critical updates, updates, and hot fixes since the release of the product, including many resolved problems that have not been available through any other software updates. Managing and applying these patches and service packs is a challenge to any system administrator. Ensuring that the relevant patches and updates are applied to both workstations and servers is a time consuming task. A single system that is missed could be the conduit for a major security incident.

71 Niveles de Severidad TechNet Security Bulletin Search:
Rating Definition Critical Exploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action Important Exploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources Moderate Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation Low Exploitation is extremely difficult, or impact is minimal The Microsoft Security Response Center team assigns a severity rating to each patch released in a security bulletin. The rating definitions are: Critical - Exploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action. Important - Exploitation could result in the compromise of user data (confidentiality, integrity, or availability), of the integrity of processing resources, or of the availability of processing resources. Moderate - Exploitation is serious, but factors such as default configuration, auditing, need for user action, and difficulty of exploitation have mitigated the threat to a significant degree. Low - Exploitation is extremely difficult, or impact is minimal. TechNet Security Bulletin Search:

72 Gestión de Actualizaciones

73 MBSA Ayuda a identificar sistemas Windows vulnerables.
Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software. Escanea distintas versiones de Windows y distintas aplicaciones. Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo. Corre en Windows Server 2003, Windows 2000 y Windows XP Se integra con SMS 2003 SP1, con SUS y WSUS MBSA is an assessment tool that serves two functions: it identifies missing security patches for a variety of Microsoft products and it also identifies common security mis-configurations for Microsoft products. It’s a standalone tool that can be invoked from the command line, via a GUI interface or programmatically by another product (e.g. SMS uses it to identify missing security patches). It scans the local machine or multiple remote machines and generates an XML report of missing security patches and security mis-configurations for each system. MBSA works for Windows 2000 and newer versions of the operating system.

74 MBSA

75 EXBPA Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft. Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas. Juzga la salud general del sistema. Ayuda a resolver los problemas encontrados. Busca también Actualizaciones de Seguridad que falten. MBSA is an assessment tool that serves two functions: it identifies missing security patches for a variety of Microsoft products and it also identifies common security mis-configurations for Microsoft products. It’s a standalone tool that can be invoked from the command line, via a GUI interface or programmatically by another product (e.g. SMS uses it to identify missing security patches). It scans the local machine or multiple remote machines and generates an XML report of missing security patches and security mis-configurations for each system. MBSA works for Windows 2000 and newer versions of the operating system.

76 EXBPA

77 Herramientas para la Gestión de Actualizaciones
Usuario Final y Pequeña Empresa: Microsoft Update Pequeña y Mediana Empresa: Windows Software Update Services Mediana Empresa y Corporaciones: SMS and the SMS Software Update Services Feature Pack

78 Productos de Terceros Compañía Producto URL Altiris, Inc.
Altiris Patch Management BigFix, Inc. BigFix Patch Manager Configuresoft, Inc. Security Update Manager Ecora, Inc. Ecora Patch Manager GFI Software, Ltd. GFI LANguard Network Security Scanner Gravity Storm Software, LLC Service Pack Manager 2000 LANDesk Software, Ltd LANDesk Patch Manager Novadigm, Inc. Radia Patch Manager PatchLink Corp. PatchLink Update Shavlik Technologies HFNetChk Pro St. Bernard Software UpdateExpert Finally, I’d like to stress that Microsoft’s #1 priority is the security and availability of your IT environment. Consequently if you feel that none of the Microsoft offerings meets your needs, we strongly encourage you to evaluate a patch management solution from another vendor. Here’s a listing of some of the companies that provide patch management products along with the names of their products and company URL. This is not an exhaustive list of vendors providing products in this space and is only meant to provide a sampling of available products. Patch Management capabilities are also included in Enterprise Systems Management products from IBM, Computer Associates, HP, and others. Microsoft does not endorse, recommend, or support any of these products but encourages customers to evaluate non-Microsoft options if to determine if they better meet your needs.

79 Fortificación de Servidores

80 Fortificación Consiste en la aplicación de tres principios:
Defensa en Profundidad (DP): Máximo número de medidas de protección que se puedan aplicar siempre que: Una medida no anule a otra No haya deterioro en la disponibilidad del sistema Mínimo Punto de Exposición (MPE): Un servidor solo ejecutar aquello que es estrictamente necesario para su rol Mínimo Privilegio Posible (MPP): Cada componente del sistema se ejecuta con el menor de los privilegios necesarios. Se puede automatizar en función del rol

81 Plantillas de seguridad
Definen los valores necesarios para las directivas de seguridad de los servidores en función de su rol y su entorno. Se pueden aplicar de forma local o a través del dominio. Afectan a los siguientes componentes: Guía de Seguridad en Windows Server 2003 Cuentas de usuario. Auditorías. Derechos de usuarios. Opciones de seguridad. Visor de sucesos. Grupos restringidos. Servicios. Claves de registro. Sistema de ficheros.

82 Herramientas

83 Análisis y configuración

84 Resultante de políticas.
Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO. Presenta dos herramientas: RSoP. Herramienta gráfica. GPRESULT. Línea de Comando. GPMC

85 Seguridad en Servidores: Windows 2003 SP1

86 Mejoras en la seguridad del Sistema Post Setup Security Updates
Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones. Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación. <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Product updates, setup security</KEYWORDS> <KEYMESSAGE>Identify the features of the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The Post Setup Security Update interface enables administrators to safely install product updates after an initial installation of Windows Server 2003 and SP1. [BUILD 2]To provide protection to the server, Windows Firewall is enabled until the administrator clicks finish in the interface, preventing remote access to the server until the updates are installed. If Windows Firewall is explicitly configured in any way during the installation process, including being disabled, this configuration takes effect. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the PSSU interface.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

87 Mejoras en la Seguridad del Sistema Post Setup Security Updates
<SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Show the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> As you can see the PSSU interface enables the downloading of product updates and the configuration of the Automatic Updates service. This interface appears only when administrators logon to the server, and will appear again if the server reboots, either due to a product update installation or other maintenance, until the Finish button is clicked. Windows Firewall is turned off and the service disabled when the Finish button is clicked. </SLIDESCRIPT> <SLIDETRANSITION>The PSSU interface does not appear with every installation of SP1.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

88 Mejoras en la Seguridad del Sistema Post Setup Security Updates
Se invoca después de: Actualización de Windows NT4 a Windows Server 2003 SP1 Instalación combinada de Windows Server 2003 y SP1 NO invocada después de: Actualización desde Windows 2000 a Windows Server 2003 SP1 Actualización desde Windows Server 2003 a SP1 <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Explain when the PSSU interface appears</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The PSSU interface appears after an upgrade to Windows Server 2003 SP1 from Windows NT4 and also if SP1 is installed in combination with the operating system. [BUILD 2]The interface does not appear if Windows 2000 is upgraded to Windows Server 2003 SP1 or if an existing Windows Server 2003 server is upgraded to SP1. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at another security enhancement.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

89 Mejoras en la Seguridad del Sistema Data Execution Prevention
Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP. Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones. AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada. AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas. <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>How to enable DEP using Boot.ini</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]DEP can be enabled using the /noexecute boot.ini switch. The /noexecute switch can be applied with four different levels of protection [BUILD 2]The OptIn policy level enables software DEP and applies Hardware DEP to applications that are configured to use it. [BUILD 3]The OptOut policy level enables both Software DEP and Hardware DEP for all executables except those in the exception list. We will see where the exception list is configured in a moment. [BUILD 4]The AlwaysOn policy level enables Software DEP and Hardware DEP and applies them to all executables even if there is an exception list. [BUILD 5]The AlwaysOff policy level disables both Software DEP and Hardware DEP. </SLIDESCRIPT> <SLIDETRANSITION>Let's see where the exception list is configured.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

90 Mejoras en la Seguridad del Sistema Security Configuration Wizard
Identifica puertos abiertos El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados. Selecciona el role del servidor de la base de datos de configuración. Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que tiene el servidor. <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain what the Security Configuration Wizard does</KEYMESSAGE> <SLIDEBUILDS>7</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The wizard should be run on a server that is running services and applications for their role as it identifies ports that need to be open in the firewall. [BUILD 2]The wizard utilises a database of server roles and the general configurations for that role. We can select one or more roles for the server and the wizard will store the necessary configuration. [BUILD 3]The wizard then guides you through configuration of services… [BUILD 4]…Windows firewall… [BUILD 5]...LDAP and SMB security… [BUILD 6]…And an audit policy, recording configuration requirements in each section. [BUILD 7]The wizard then configures services specific to the roles the server is performing. For example if the server is running IIS it will include a section that allows you to configure the web server. </SLIDESCRIPT> <SLIDETRANSITION>How does the wizard let you configure other servers?</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

91 Mejoras en la Seguridad del Sistema Security Configuration Wizard
La configuración se salva en un fichero XML. Se aplica por el asistente Se puede aplicar una política de seguridad existente a otro equipo. Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain how to use the Security Configuration Wizard to secure additional servers.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]All of the configurations that you make are saved to an XML file. [BUILD 2]This XML file is used to apply the configuration to additional computers. We can do this by using the wizard itself and selecting Apply an existing policy… [BUILD 3]…Or we can apply the XML file from the command line or in scripts. </SLIDESCRIPT> <SLIDETRANSITION>Let's run the wizard to see all this.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

92 Security Configuration Wizard

93 Seguridad en Clientes

94 Bests Practices Fortificación estación de Trabajo
Windows XP Service Pack 2 Guía de fortificación de estaciones de Windows XP ( Utilización de Firewall Navegación restringida Uso de Antivirus/Antispyware Formación del usuario

95 Malicious Software Removal Tool
Objetivos Reducir el Impacto del malware en usuarios Windows Entender las tendencias del malware Distribución Windows Update Centro de Descargas Sitio Web Reporte disponible públicamente Windows Update 90 % de las ejecuciones de MSRT 95

96 Actividad de MSRT 2.7 billones de ejecuciones 270 millones de equipos
Enero 2005 a marzo 2006 MSRT se ejecuta por lo menos en 270 millones de equipos directamente de Windows Update cada mes. No sabemos cuantos lo hacen directamente o a traves de un servidor WUS. Define Family, Variant, and Instances 2.7 billones de ejecuciones 270 millones de equipos

97 Resultados MSRT 16 millones de infecciones
Desde junio 05 hay un id único por máquina que nos dice de que maquina provienen los problemas 16 millones de infecciones 5.7 millones de equipos infectados 1 infección cada 311 97

98 Reducción del Impacto Numero de familias que se incrementaron o decrementaron. Solo 3 familias aumentarón. El segundo pastel muestra cuanto se decrementarion estas familias. 98

99 Entender las tendencias
60 % son troyanos o puertas traseras. Bot o Zombies de los rootkits son maquinas que tenian el RootKit de Sony DRM Ingeniería social es el 35 %. La sosfisticación es grande y el usuario interviene a la hora de decidir si lo instala o no. No hay una vulnerabilidad explotable. Alcan Virus que se propaga por Kazaa. Troyanos de puerta trasera son la amenaza mas significante y mas creciente Los Rootkits son una amenaza emergente Ingeniería Social 35%

100 Como ayuda Vista Contra el Malware.. Prevención Aislamiento Remedios

101 Prevención Tecnología en Vista Amenaza Vulnerabilidad de Software
Ciclo de desarrollo seguro Actualizaciones Automáticas Windows Firewall/IPSec Data Execution Protection Address Space Layout Randomization Ingeniería Social User Account Control Windows Defender Vulnerabilidad de la Política Contraseña de Administrador en Blanco Firma de drivers en 64 bit Política de Firewall por Red

102 Aislamiento Tecnología en Vista Amenaza Comportamiento del Sistema
Integridad de Sistemas de 64-bit Recursos del Sistema Fortificación de Servicios Firewall Bidireccional IE Protected Mode Configuración del Sistema User Account Control Windows Defender

103 Remedios Tecnología en Vista Amenaza Estado de la Seguridad
Centro de Seguridad de Windows Limpieza de Spyware Windows Defender Limpieza de Virus Windows Malicious Software Removal Tool

104 Mejoras en la Seguridad del Sistema Data Execution Prevention
Forzada por el hardware y el software Hardware DEP Requiere que el procesador lo soporte o implemente El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable. Puede causar problemas de compatibilidad. Software DEP Funcionalidad en cualquier procesador que soporte Windows Server 2003 Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema. Es raro que cause problemas de compatibilidad. <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>Explain DEP functionality.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]SP1 provides Data Execution Prevention capabilities to Windows Server DEP can be enforced in both hardware and software. [BUILD 2]Hardware DEP requires processor support. Both Intel and AMD provide processors that support this feature. The processor marks any area of memory that does not contain executable code as non-executable. This helps to prevent exploits or attacks that insert code into memory and then execute it. Hardware DEP may cause compatibility issues with applications or drivers, especially those that dynamically create executable code. [BUILD 3]Software DEP works on any processor that supports Windows Server 2003. Software DEP protects the system from attacks that use the way Windows handles exceptions to run malicious code on the system. Software DEP only affects system binaries. Software DEP is unlikely to cause compatibility issues. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at how that works.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

105 Protección de la Memoria Data Execution Protection Address Space Layout Randomization
Stack Code Application Code Library Code Windows Code DEP Locals ASLR LoadLibrary() Return Address Parameters Previous Frames

106 Integridad de Sistemas de 64 bit
Application CreateFile() Interrupt Dispatch Table Global Descriptor Table System Service Dispatch Table Kernel32.dll CreateFileW() ntdll.dll ZwCreateFile() El ciclo de vida de una llamad a las API, y como el código malicioso puede manipular el sistema para ocultar información o engañar al sistema Interrupt Dispatch Table 2E System Service Dispatch Table NtCreateFile() 106

107 Cambio fundamental en la operativa de Windows
Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura. 107

108 Protección de cuentas Usuario UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx

109 Internet Explorer 7 Además de ser compatible con UAC, incluirá:
Modo Protegido que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click Protected Mode offers users a powerful security enhancement by reducing the severity of threats faced by malicious attacks. A new feature in IE7 for Windows Vista, Protected Mode eliminates the silent install of malicious code through software vulnerabilities. Protected mode accomplishes this by running IE in isolation from any other application or process in the operating system and limiting the IE process from writing to any location beyond Temporary Internet Files without explicit user consent. Running IE in isolation prevents it from accessing other applications, even other instances of IE, removing any potential for escalation of privilege by using a buffer overrun attack. A Protected Mode IE session will still enable users to enjoy the powerful extensibility and unique website features they are used to having with IE. Protected Mode will only be available in Windows Vista. ActiveX Opt-in is designed to give users more control over the software running on their PCs. To reduce the attack surface, ActiveX Opt-in will disable by default ActiveX controls that are rarely used or were never intended to be invoked in IE.  Controls that users have installed via a web download or have been used in IE before upgrading to IE7 will be enabled by default. Users will have the option to enable controls as needed using the same Information Bar they have used to install new controls since Windows XP SP2. While the final implementation is still being developed, the goal is a safer browsing experience for users with the add-ons they value already enabled and ready for use. 109

110 MIC & UIPI Mandatory Integrity Control (MIC).
Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso User Interfacer Privilege Isolation (UIPI) Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

111 Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas
Realiza 3 chequeos para proteger al usuario de posibles timos: Compara el Sitio Web con la lista local de sitios legítimos conocidos Escanea el sitio Web para conseguir características comunes a los sitios con Phising Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora THIS IS THE HERO SLIDE IF YOU CAN ONLY SHOW ONE SLIDE Additional ANTI-PHISHING slides in Appendix Phishing Filter uses three methods to help protect you from Phishing scams. First, it compares the addresses of websites you visit against a large list of sites known to Microsoft as legitimate. This list of sites is stored on your computer. Second, as you are browsing, it uses special heuristics – a method of scanning the page for special characteristics on any site it doesn’t already know as legitimate to see if it has the characteristics common to a Phishing website. This heuristics engine is also stored on your computer. Since attackers and attacks change frequently, these heuristics as well as the list of legitimate sites are continuously updated through a centralized dynamically updated Microsoft service. You as the user can opt into the service. It has two modes: automatic or as needed, both of which will have Internet Explorer ask you if you wish to send the website address to Microsoft to be checked. The dynamic service check allows the latest heuristics to be used as well as instant access to an updated list of legitimate websites. Third and last, through the service, the site is checked against a live list of known Phishing sites. This live list is very dynamic and becomes out of date within hours making it more efficient for you to access via the internet.  This list is not stored on your computer to save space and processing time. As you are browsing the web, you will not notice the Phishing Filter until you actually need it. If the site you are visiting is on the list of reported phishing sites, Internet Explorer will display a warning webpage and a red notification shield on the address bar at the top of the browser. From the warning webpage, you can continue or close the page. If the website contains characteristics common to a phishing site as determined by the special heuristics, Internet Explorer will only notify you in the address bar through a yellow notification shield that it is a suspicious phishing website and you should take appropriate action. You can click on the notification for more information. Microsoft will be using many data sources to make sure the Phishing Filter is accurate, however mistakes do happen. You as a consumer can also provide feedback online to Microsoft when using the Phishing filter. You can submit through our online feedback system websites you feel Microsoft may have missed or may have mistakenly classified as Phishing website. If you are a site-owner, we will ask you for some additional information in order to resolve any mistakes as soon as possible. Dos niveles de Aviso y protección en la barra de estado de IE7 Level 1: Warn Suspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked 111

112 Windows Defender Monitorización Detección Limpieza Software Explorer
SpyNet

113 10 Immutable Laws of Security
1 If an attacker can persuade you to run his program on your computer, it's not your computer anymore. 2 If an attacker can alter the operating system on your computer, it's not your computer anymore. 3 If an attacker has unrestricted physical access to your computer, it's not your computer anymore. 4 If you allow an attacker to upload programs to your website, it's not your website anymore. 5 Weak passwords prevail over strong security. 6 A machine is only as secure as the administrator is trustworthy. 7 Encrypted data is only as secure as the decryption key. 8 An out-of-date virus scanner is only marginally better than no virus scanner at all. 9 Absolute anonymity isn't practical, in real life or on the Web. 10 Technology is not a panacea. When you choose to run a program, you are making a decision to turn over control of your computer to it. Once a program is running, it can do anything, up to the limits of what you yourself can do on the machine. In the end, an operating system is just a series of ones and zeros that, when interpreted by the processor, cause the machine to do certain things. Change the ones and zeros, and it will do something different. Where are the ones and zeros stored? Why, on the machine, right along with everything else! They're just files, and if other people who use the machine are permitted to change those files, it's "game over." If someone has physical access to your computer, he or she has full control over the computer and can do anything to it such as modifying data, stealing data, taking the hardware, or physically destroying the computer. If you run a website, you need to limit what visitors can do. You should allow a program on your site only if you wrote it yourself or if you trust the developer who wrote it. But that may not be enough. If your website is one of several hosted on a shared server, you need to be extra careful. If a bad guy can compromise one of the other sites on the server, it's possible that he can extend his control to the server itself and thus control all of the sites on it—including yours. If a hacker can compromise your password, he can log on to your computer and do anything on your computer that you can do. Always use a password; it is amazing how many accounts have blank passwords. And choose a complex one. Do not use your dog's name, your anniversary date, or the name of the local football team. And do not use the word password! An untrustworthy administrator can negate every other security measure you've taken. He can change the permissions on the machine, modify the system security policies, install malicious software, add bogus users, or do any of a million other things. He can subvert virtually any protective measure in the operating system because he controls it. Worst of all, he can cover his tracks. If you have an untrustworthy administrator, you have absolutely no security. Many operating systems and cryptographic software products give you an option to store cryptographic keys on the computer. The advantage is convenience—you don't have to handle the key—but it comes at the cost of security. The keys are usually obfuscated (that is, hidden), and some of the obfuscation methods are quite good. But in the end, no matter how well hidden the key is, if it is on the machine, it can be found. It has to be able to be found: after all, the software can find it, so a sufficiently motivated bad guy can find it too. Whenever possible, use offline storage for keys. Virus scanners work by comparing the data on your computer against a collection of virus signatures. Each signature is characteristic of a particular virus, and when the scanner finds data in a file, in an , or elsewhere that matches the signature, it concludes that it has found a virus. However, a virus scanner can scan only for the viruses it knows about. It is vital that you keep your virus scanner's signature file up-to-date because new viruses are created every day. The best way to protect your privacy on the Internet is the same way you protect your privacy in normal life—through your behavior. Read the privacy statements on the websites you visit, and do business only with websites whose practices you agree with. If your are worried about cookies, disable them. Most important, avoid indiscriminate Web surfing: recognize that just as most cities have a bad side of town that is best avoided, the Internet does too. Perfect security requires a level of perfection that simply does not exist and in fact is not likely ever to exist. This is true for software as well as virtually all fields of human interest. Software development is an imperfect science, and virtually all software has bugs. Some of them can be exploited to cause security breaches. That is just a fact of life. But even if software could be made perfect, it would not solve the problem entirely. Most attacks involve, to one degree or another, some manipulation of human nature—this is usually referred to as social engineering. Raise the cost and difficulty of attacking security technology, and bad guys will respond by shifting their focus away from the technology and toward the human being at the console. It is vital that you understand your role in maintaining solid security, or you could become the chink in your own systems' armor. To view the full article on the 10 immutable laws of security, see:

114 ¿ Preguntas ?

115 Web MVPs

116 TechNews Suscripción gratuita enviando un mail:

117 Grupos Reducidos de 10 a 15 asistentes
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker. Sistemas Desarrollo

118 Contacto Chema Alonso chema@informatica64.com