Post on 04-Jun-2015
description
© 2007 Global Crossing - Proprietary
Riesgos a los que se exponen las empresas
Marcelo GimenezRegional Technology and Operations Security Manager
© 2007 Global Crossing - Proprietary 2
Recuerdan cuando…
•La seguridad significó tener a alguien que podría colocar una regla en un firewall.
•El oficial de seguridad era la persona en el escritorio de la entrada.
•Los sistemas de detección de intrusos controlaban el perímetro.
•Uno podía abrir sin dudar todos los E-mail.
•El intruso era solamente desconocido.
Esos días terminaron…
© 2007 Global Crossing - Proprietary 3
Servicios tradicionales: telefonía IP, crm, optimización de protocolos, nuevas
interfaces, etc
Accesos inalámbricos.
Escenario actual
Las nuevas tecnologías y procesos cambian el escenario de las redes
internas.
Incremento exponencial de tecnología móvil: notebooks, pdas, nueva
generación de celulares, etc
Automatización de procesos y adecuaciones a normas internacionales
Asimismo, la evolución de las aplicaciones como la diversidad de
accesos, dificulta la aplicación de controles.
La alta rotación del personal expone ampliamente al sector de IT,
capacitar, concientizar y lograr la productividad del nuevo personal
es costoso.
© 2007 Global Crossing - Proprietary 4
VulnerabilidadesContagio de Virus
Internet
Ataques de Layer 7
SasserBlasterSlammer
Tecnología “mutante”
De menor complejidad
Mayor elaboración y costo de control
Escenario actual
© 2007 Global Crossing - Proprietary 5
Ataques distribuídos
DDOS
Internet
Spam Zombie & BotNets
Colapsando
los sistemas
Identificando
hábitos y contenido
Escenario actual
© 2007 Global Crossing - Proprietary 6
Redes de Terceros Accesos Inalámbricos
VPN
Remotos Site to Site
Internet
Necesitando acceso físico
Necesitando solo una señal
Escenario actual
© 2007 Global Crossing - Proprietary 7
Ingeniería Social Phishing & Pharming
Considerando
técnicas manuales
Perfeccionando las técnicas mediante el uso
de recursos de red
Escenario actual
© 2007 Global Crossing - Proprietary 8
Estándares Propios Normas y Regulaciones
Definiendo metodologías
Utilizando las normas y regulaciones requeridas
Escenario actual
© 2007 Global Crossing - Proprietary 9
Nuevos Objetivos
© 2007 Global Crossing - Proprietary 10
Recuerdan cuando?
26811 0
La infección se duplicaba cada 7 segundos.
Infectan a más de 80.000 hosts en los primeros 10
minutos.
Causan perdidas millonarias a nivel mundial por DoS de
aplicaciones, DoS de redes, cancelación de vuelos, fallas
en “Cajeros automáticos”, etc.
Minutos después del lanzamiento
Año 2003 / 04
© 2007 Global Crossing - Proprietary 11
Malware
Troyanos Virus Spyware
Troyanos
BackdoorGusanos
Phishing
Pharming
Zombies / Botnets
Hoy, la estrategia es desarrollar código que pase desapercibido, con el fin de capturar información confidencial. (ataques dirigidos)
Un cambio de foco en los Hackers
© 2007 Global Crossing - Proprietary 12
Dos días después se creo un gusano que aprovechaba la vulnerabilidad para infectar sistemas.
El ejecutable es detectado como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll)
en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el
antivirus que se encuentre residente en ese momento.
Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google
y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información
a su creador sobre el sistema operativo y el antivirus instalado.
El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de
información que se considere relevante del sistema, como ser:
•Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
•Usuarios y contraseñas de Microsoft Outlook Express
•Contraseñas almacenadas en Microsoft Internet Explorer
•Cookies y otros métodos de autenticación
•Archivos deseados por el atacante
Worm Gimmiv - RPC in Server Services (23-10-08)
Un cambio de foco en los Hackers
© 2007 Global Crossing - Proprietary 13
Spyware
(no malicioso)
Grayware
Grayware:
Software que identifica los hábitos del usuario, puede determinar características relevantes
del sujeto, como hábitos, gustos, etc. (Es una excelente técnica de Ingeniería Social).
El problema se presenta cuando un sitio web legitimo se convierte en un sitio
malicioso, producto de la falta de medidas de seguridad, o cuando se compromete la
computadora del usuario.
Un cambio de foco en los Hackers
© 2007 Global Crossing - Proprietary 14
En nuestro Security Operation Center (SOC),
detectamos un promedio de 131.000 eventos
diarios de prioridad Alta y 76.000 de prioridad
Media, en los IPS s instalados en la región.
A esto se le suman los 276.000 Spam diarios
detectados.
0
2000000
4000000
6000000
8000000
10000000
12000000
High Medium Low
High
Medium
Low
Algunas cifras
© 2007 Global Crossing - Proprietary 15
Q TOTAL Q SPAM Q HAM Q VIRUS S TOTAL S SPAM S HAM S VIRUS
2007-11-00 1.501.000 895.428 605.572 4.685 130,88 8,52 122,36 0,3
2007-12-00 6.600.218 4.342.259 2.257.959 16.307 478,54 32,98 445,55 1
2008-01-00 8.638.567 6.049.989 2.588.578 19.596 556,22 44,34 511,88 1,23
2008-02-00 10.772.575 7.930.638 2.841.937 17.950 653,6 44,45 609,15 1,26
2008-03-00 13.400.244 9.958.116 3.442.128 8.999 797,07 52,.50 744,57 0,73
0
2.000.000
4.000.000
6.000.000
8.000.000
10.000.000
12.000.000
14.000.000
Q VIRUS
Q HAM
Q SPAM
Algunas cifras
© 2007 Global Crossing - Proprietary 16
Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx146 y el
sitio web alojado en el mismo:
La URL detectada que presenta el problema es:
http://secretariadepueblos.gov.ec/joomla/media/rbs.co.uk/Login.htm
A la fecha de nuestros chequeos [14/Mar/2008 - 12:05 ARTS ], la URL está activa.
Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx.62 y el
sitio web alojado en el mismo:
La URL detectada que presenta el problema es:
http://mail.trenurbano.gob.pe/santillana/.cgi-bin/
A la fecha de nuestro chequeo [03/Feb/2008 - 11:00 ARTS ], la URL está activa y alojando contenido
malicioso que se esta utilizando para cometer ataques de phishing.
Se procesan un promedio de 30 denuncias al mes de casos de
Phishing.
Algunas cifras
© 2007 Global Crossing - Proprietary 17
Algunas cifras
Title: FIFA
Infringement Source: BitTorrent
Infringement Timestamp: 22 Sep 2008 02:08:11 GMT Infringement Last Documented: 22 Sep 2008
02:08:11 GMT Infringer Username:
Infringing Filename: FIFA 08 [Spanish][PS2DVD][WwW.GamesTorrents.CoM]
Infringing Filesize: 2189075098
Infringer IP Address: 200.xx.xx.200
Infringer DNS Name:
Infringing URL: http://tk.comicat.com:80/announce
The unauthorized copies of game product are listed and/or identified thereon by their titles or variations
thereof, game-related listings/references/descriptions, or depictions of game-related artwork. Such
copies, titles, game-related listings/references/descriptions, depictions, and material that is the subject of
infringing activities are hereinafter referred to as "Infringing Material.ââ'¬Â•
Given this infringing activity by 200.xx.xx.200, the ESA urges Global Crossing - Argentina to cooperate
with its efforts to protect the intellectual property rights of its members companies and immediately do the
following:
Se alertan a un promedio de 20 clientes al mes, indicándoles
violaciones al derecho de autor (Copyright)
© 2007 Global Crossing - Proprietary 18
Nuevas Amenazas
© 2007 Global Crossing - Proprietary 19
Drive by Pharming
Es la evolución de la técnica de Pharming tradicional.
Su objetivo es el usuario de banda ancha (Adsl, Cable, etc).
Consiste en aprovechar las vulnerabilidades de algunos routers,
modificando los parámetros de DNS, por un DNS del atacante.
A partir de ese momento, la resolución de nombres la realiza el
DNS del atacante, logrado derivar al usuario a sitios modificados
con el fin de capturar información confidencial.
Nuevas amenazas
© 2007 Global Crossing - Proprietary 20
Juegos On line
Se estima que el 54% de los archivos referidos a videojuegos en
redes P2P, están troyanizados.
Se analizaron 1000 muestras en sitios y en redes P2P de los 30
videojuegos mas populares, se constató que 528 contenían algún
tipo de malware.
Generalmente las PC´s que utilizan los usuarios de videojuegos,
tienen un alto nivel de procesamiento, por lo cual son “ideales”
para los operadores de las redes BOTNET.
Nuevas amenazas
© 2007 Global Crossing - Proprietary 21
Web legitimas pero maliciosas
Cada vez son mas los sitios Web, que son infectados con
propósitos dañinos.
Los visitantes se convierten en victimas sin conocimiento que
forman parte de una red informática de los atacantes.
Las redes sociales, se esta convirtiendo en una moda peligrosa.
My Space
Foto Blogs
Second Life
Nuevas amenazas
© 2007 Global Crossing - Proprietary 22
DEFCON
© 2007 Global Crossing - Proprietary 23
Defcon 15
1000
personas
por salón
5 salones
© 2007 Global Crossing - Proprietary 24
Defcon 15
4 Salas de
Hacking
© 2007 Global Crossing - Proprietary 25
Defcon 15
© 2007 Global Crossing - Proprietary 26
Defcon 15
© 2007 Global Crossing - Proprietary 27
Defcon 15 (Novedades)
DDOS Bot by Cyber Underground Project
PINCH 2.99 (Troyanos)
Controla maquinas zombis a través de WEB e IRC.
Usa múltiples técnicas de penetración (SYN, ICMP, UDP, HTTP GET FLOODING, ETC).
Se vende por U$ 300, pero hay en la red viejas versiones gratis.
Con la versión paga garantizan que no es detectado por los AV
© 2007 Global Crossing - Proprietary 28
Defcon 15 (Novedades)
DDOS y SPAM Services
Ofrecen un servicio de denegación de servicio
distribuida (DDOS) y de Spam.
Mayormente es generado desde Rusia y Asia.
Solo hay que definir el objetivo y ellos
proporcionan la técnica y la infraestructura
para hacerlo.
El costo es:
1 hs de DDOS o SPAM es de U$ 50
24 hs de DDOS o SPAM es de U$ 200
© 2007 Global Crossing - Proprietary 29
El Mundo Underground
© 2007 Global Crossing - Proprietary 30
White Hat: Individuos que poseen los mismos
conocimientos que un black hat pero utilizados para
propósitos defensivos. También conocidos como
Analistas de Seguridad
Grey Hat: Individuos que trabajan tanto para propósitos
defensivos como ofensivos. Carecen de ética.
“Mercenarios”
Black Hat: Individuos con conocimientos extraordinarios
de computación realizando actividades maliciosas o
destructivas. También conocidos como CRACKERS
Trabajan organizados y en grupos…. Y no duermen.
Conociendo al Enemigo
© 2007 Global Crossing - Proprietary 31
Curiosidad y desafío
Entretenimiento
Intereses políticos
Deseo de información
Emoción de obtener privilegios de acceso
Usarlo como trofeo para obtener
“status” en el ambiente
Conociendo al Enemigo
Motivaciones
Esos días terminaron…
© 2007 Global Crossing - Proprietary 32
Conociendo al Enemigo
© 2007 Global Crossing - Proprietary 33
Sus codigos…
War Chokers, Drivers, Walkers y otros
Conociendo al Enemigo
© 2007 Global Crossing - Proprietary 34
Conociendo al Enemigo
© 2007 Global Crossing - Proprietary 35
Conociendo al Enemigo
© 2007 Global Crossing - Proprietary 36
Recomendaciones
© 2007 Global Crossing - Proprietary 37
Un buen “human firewall employee” es aquel que aplica las buenas
practicas de seguridad y descarta las malas.
La única manera de construir un buen “human firewall”, es conducirlo
al uso de los buenos hábitos, al uso de ética y al compromiso por
medio de la concientización.
Capacitación Compromiso y
Concientización
The Human Firewall – an invaluable tool
© 2007 Global Crossing - Proprietary 38
Pasado En la actualidad
Standalone
Transporte
Reactivo Flexible, Proactivo
Múltiples capas
Contenido
Foco en la tecnologia Foco en los procesos
Estándares propiosNormas y regulaciones
internacionales
Análisis realizados a
través de softwareAnálisis realizados por profesionales
Amenazas Externas Externas, Internas, Redes 3°
© 2007 Global Crossing - Proprietary 39
No toda la amenaza tiene la misma apariencia…
© 2007 Global Crossing - Proprietary 40
Considerar que la amenaza puede estar muy cerca de uno...
© 2007 Global Crossing - Proprietary
Gracias!