riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por marcelo giménez

© 2007 Global Crossing - Proprietary

Riesgos a los que se exponen las empresas

Marcelo GimenezRegional Technology and Operations Security Manager

© 2007 Global Crossing - Proprietary 2

Recuerdan cuando…

•La seguridad significó tener a alguien que podría colocar una regla en un firewall.

•El oficial de seguridad era la persona en el escritorio de la entrada.

•Los sistemas de detección de intrusos controlaban el perímetro.

•Uno podía abrir sin dudar todos los E-mail.

•El intruso era solamente desconocido.

Esos días terminaron…


Servicios tradicionales: telefonía IP, crm, optimización de protocolos, nuevas

interfaces, etc

Accesos inalámbricos.

Escenario actual

Las nuevas tecnologías y procesos cambian el escenario de las redes

internas.

Incremento exponencial de tecnología móvil: notebooks, pdas, nueva

generación de celulares, etc

Automatización de procesos y adecuaciones a normas internacionales

Asimismo, la evolución de las aplicaciones como la diversidad de

accesos, dificulta la aplicación de controles.

La alta rotación del personal expone ampliamente al sector de IT,

capacitar, concientizar y lograr la productividad del nuevo personal

es costoso.


VulnerabilidadesContagio de Virus

Internet

Ataques de Layer 7

SasserBlasterSlammer

Tecnología “mutante”

De menor complejidad

Mayor elaboración y costo de control

Escenario actual


Ataques distribuídos

DDOS

Internet

Spam Zombie & BotNets

Colapsando

los sistemas

Identificando

hábitos y contenido

Escenario actual


Redes de Terceros Accesos Inalámbricos

VPN

Remotos Site to Site

Internet

Necesitando acceso físico

Necesitando solo una señal

Escenario actual


Ingeniería Social Phishing & Pharming

Considerando

técnicas manuales

Perfeccionando las técnicas mediante el uso

de recursos de red

Escenario actual


Estándares Propios Normas y Regulaciones

Definiendo metodologías

Utilizando las normas y regulaciones requeridas

Escenario actual


Nuevos Objetivos


Recuerdan cuando?

26811 0

La infección se duplicaba cada 7 segundos.

Infectan a más de 80.000 hosts en los primeros 10

minutos.

Causan perdidas millonarias a nivel mundial por DoS de

aplicaciones, DoS de redes, cancelación de vuelos, fallas

en “Cajeros automáticos”, etc.

Minutos después del lanzamiento

Año 2003 / 04


Malware

Troyanos Virus Spyware

Troyanos

BackdoorGusanos

Phishing

Pharming

Zombies / Botnets

Hoy, la estrategia es desarrollar código que pase desapercibido, con el fin de capturar información confidencial. (ataques dirigidos)

Un cambio de foco en los Hackers


Dos días después se creo un gusano que aprovechaba la vulnerabilidad para infectar sistemas.

El ejecutable es detectado como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll)

en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el

antivirus que se encuentre residente en ese momento.

Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google

y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información

a su creador sobre el sistema operativo y el antivirus instalado.

El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de

información que se considere relevante del sistema, como ser:

•Usuarios y contraseñas de Microsoft Live Mesenger (MSN)

•Usuarios y contraseñas de Microsoft Outlook Express

•Contraseñas almacenadas en Microsoft Internet Explorer

•Cookies y otros métodos de autenticación

•Archivos deseados por el atacante

Worm Gimmiv - RPC in Server Services (23-10-08)



Spyware

(no malicioso)

Grayware

Grayware:

Software que identifica los hábitos del usuario, puede determinar características relevantes

del sujeto, como hábitos, gustos, etc. (Es una excelente técnica de Ingeniería Social).

El problema se presenta cuando un sitio web legitimo se convierte en un sitio

malicioso, producto de la falta de medidas de seguridad, o cuando se compromete la

computadora del usuario.



En nuestro Security Operation Center (SOC),

detectamos un promedio de 131.000 eventos

diarios de prioridad Alta y 76.000 de prioridad

Media, en los IPS s instalados en la región.

A esto se le suman los 276.000 Spam diarios

detectados.

0

2000000

4000000

6000000

8000000

10000000

12000000

High Medium Low

High

Medium

Low

Algunas cifras


Q TOTAL Q SPAM Q HAM Q VIRUS S TOTAL S SPAM S HAM S VIRUS

2007-11-00 1.501.000 895.428 605.572 4.685 130,88 8,52 122,36 0,3

2007-12-00 6.600.218 4.342.259 2.257.959 16.307 478,54 32,98 445,55 1

2008-01-00 8.638.567 6.049.989 2.588.578 19.596 556,22 44,34 511,88 1,23

2008-02-00 10.772.575 7.930.638 2.841.937 17.950 653,6 44,45 609,15 1,26

2008-03-00 13.400.244 9.958.116 3.442.128 8.999 797,07 52,.50 744,57 0,73

0

2.000.000

4.000.000

6.000.000

8.000.000

10.000.000

12.000.000

14.000.000

Q VIRUS

Q HAM

Q SPAM

Algunas cifras


Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx146 y el

sitio web alojado en el mismo:

La URL detectada que presenta el problema es:

http://secretariadepueblos.gov.ec/joomla/media/rbs.co.uk/Login.htm

A la fecha de nuestros chequeos [14/Mar/2008 - 12:05 ARTS ], la URL está activa.

Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx.62 y el

sitio web alojado en el mismo:

La URL detectada que presenta el problema es:

http://mail.trenurbano.gob.pe/santillana/.cgi-bin/

A la fecha de nuestro chequeo [03/Feb/2008 - 11:00 ARTS ], la URL está activa y alojando contenido

malicioso que se esta utilizando para cometer ataques de phishing.

Se procesan un promedio de 30 denuncias al mes de casos de

Phishing.

Algunas cifras

http://secretariadepueblos.gov.ec/joomla/media/rbs.co.uk/Login.htm





Algunas cifras

Title: FIFA

Infringement Source: BitTorrent

Infringement Timestamp: 22 Sep 2008 02:08:11 GMT Infringement Last Documented: 22 Sep 2008

02:08:11 GMT Infringer Username:

Infringing Filename: FIFA 08 [Spanish][PS2DVD][WwW.GamesTorrents.CoM]

Infringing Filesize: 2189075098

Infringer IP Address: 200.xx.xx.200

Infringer DNS Name:

Infringing URL: http://tk.comicat.com:80/announce

The unauthorized copies of game product are listed and/or identified thereon by their titles or variations

thereof, game-related listings/references/descriptions, or depictions of game-related artwork. Such

copies, titles, game-related listings/references/descriptions, depictions, and material that is the subject of

infringing activities are hereinafter referred to as "Infringing Material.Ã¢â'¬Â•

Given this infringing activity by 200.xx.xx.200, the ESA urges Global Crossing - Argentina to cooperate

with its efforts to protect the intellectual property rights of its members companies and immediately do the

following:

Se alertan a un promedio de 20 clientes al mes, indicándoles

violaciones al derecho de autor (Copyright)

http://tk.comicat.com/announce


Nuevas Amenazas


Drive by Pharming

Es la evolución de la técnica de Pharming tradicional.

Su objetivo es el usuario de banda ancha (Adsl, Cable, etc).

Consiste en aprovechar las vulnerabilidades de algunos routers,

modificando los parámetros de DNS, por un DNS del atacante.

A partir de ese momento, la resolución de nombres la realiza el

DNS del atacante, logrado derivar al usuario a sitios modificados

con el fin de capturar información confidencial.

Nuevas amenazas


Juegos On line

Se estima que el 54% de los archivos referidos a videojuegos en

redes P2P, están troyanizados.

Se analizaron 1000 muestras en sitios y en redes P2P de los 30

videojuegos mas populares, se constató que 528 contenían algún

tipo de malware.

Generalmente las PC´s que utilizan los usuarios de videojuegos,

tienen un alto nivel de procesamiento, por lo cual son “ideales”

para los operadores de las redes BOTNET.

Nuevas amenazas


Web legitimas pero maliciosas

Cada vez son mas los sitios Web, que son infectados con

propósitos dañinos.

Los visitantes se convierten en victimas sin conocimiento que

forman parte de una red informática de los atacantes.

Las redes sociales, se esta convirtiendo en una moda peligrosa.

My Space

Foto Blogs

Second Life

Nuevas amenazas


DEFCON


Defcon 15

1000

personas

por salón

5 salones


Defcon 15

4 Salas de

Hacking


Defcon 15


Defcon 15 (Novedades)

DDOS Bot by Cyber Underground Project

PINCH 2.99 (Troyanos)

Controla maquinas zombis a través de WEB e IRC.

Usa múltiples técnicas de penetración (SYN, ICMP, UDP, HTTP GET FLOODING, ETC).

Se vende por U$ 300, pero hay en la red viejas versiones gratis.

Con la versión paga garantizan que no es detectado por los AV


Defcon 15 (Novedades)

DDOS y SPAM Services

Ofrecen un servicio de denegación de servicio

distribuida (DDOS) y de Spam.

Mayormente es generado desde Rusia y Asia.

Solo hay que definir el objetivo y ellos

proporcionan la técnica y la infraestructura

para hacerlo.

El costo es:

1 hs de DDOS o SPAM es de U$ 50

24 hs de DDOS o SPAM es de U$ 200


El Mundo Underground


White Hat: Individuos que poseen los mismos

conocimientos que un black hat pero utilizados para

propósitos defensivos. También conocidos como

Analistas de Seguridad

Grey Hat: Individuos que trabajan tanto para propósitos

defensivos como ofensivos. Carecen de ética.

“Mercenarios”

Black Hat: Individuos con conocimientos extraordinarios

de computación realizando actividades maliciosas o

destructivas. También conocidos como CRACKERS

Trabajan organizados y en grupos…. Y no duermen.

Conociendo al Enemigo


Curiosidad y desafío

Entretenimiento

Intereses políticos

Deseo de información

Emoción de obtener privilegios de acceso

Usarlo como trofeo para obtener

“status” en el ambiente


Motivaciones

Esos días terminaron…


Sus codigos…

War Chokers, Drivers, Walkers y otros



Recomendaciones


Un buen “human firewall employee” es aquel que aplica las buenas

practicas de seguridad y descarta las malas.

La única manera de construir un buen “human firewall”, es conducirlo

al uso de los buenos hábitos, al uso de ética y al compromiso por

medio de la concientización.

Capacitación Compromiso y

Concientización

The Human Firewall – an invaluable tool


Pasado En la actualidad

Standalone

Transporte

Reactivo Flexible, Proactivo

Múltiples capas

Contenido

Foco en la tecnologia Foco en los procesos

Estándares propiosNormas y regulaciones

internacionales

Análisis realizados a

través de softwareAnálisis realizados por profesionales

Amenazas Externas Externas, Internas, Redes 3°


No toda la amenaza tiene la misma apariencia…


Considerar que la amenaza puede estar muy cerca de uno...