prevención y reacción ante incidentes de seguridad

1

Prevención y reacción

ante incidentes de

seguridad. Protocolos de

actuación

2

Prevención y reacción ante

incidentes de seguridad. Protocolos

de actuación.

2013.

Autores: Emilio Sánchez Pérez

Impresión.

Depósito Legal.

Diseño.

3

PRESENTACIÓN DEL MANUAL

EAP

4

Prevención y reacción ante

incidentes de seguridad.

Protocolos de actuación

Prevención y reacción ante incidentes de seguridad. Protocolos de actuación.

Unidad 1: Introducción.

Contexto actual de las tecnologías de la información

Unidad 2: Concepto. Incidente de Seguridad.

Concepto de un incidente de seguridad

Unidad 3: Herramienta de gestión de incidentes de seguridad.

Metodología para la gestión de incidentes. ITIL

Herramientas más populares.

Herramienta de gestión de incidentes en la CARM.

Unidad 4: Formas de poner un incidente.

Medios para registrar un incidente de seguridad.

Unidad 5: Tipos de incidentes.

Incidentes relacionados con el correo electrónico.

Incidentes relacionados con el acceso a Internet.

Incidentes relacionados con reglas de cortafuegos.

Incidentes relacionados con el corte de servicio de red.

Incidentes relacionados con el servicio antivirus.

5

Introducción del Módulo y Objetivos ó Expectativas de aprendizaje.

En el módulo de prevención y reacción ante incidentes de seguridad, se va a abordar cómo podemos evitar que se produzcan incidentes de seguridad y siempre que no esté en nuestras manos y se produzcan saber cómo identificarlos y conocer la manera de proceder para su mitigación inmediata y su posterior resolución.

El cambio continuo en las aplicaciones y el uso de los sistemas de información con nuevas incorporaciones como últimamente han sido los dispositivos portátiles como las tablets y Smartphones, propicia que cada día surjan nuevas amenazas para a la información.

Una vez que se haya finalizado el módulo, el usuario debería tener una visión global de los posibles incidentes de seguridad con los que se puede encontrar, así como conocer cómo registrar en los sistemas de información de la CARM estos incidentes para que el personal adecuado se encargue de su resolución.

6

1. Contenido Introducción del Módulo y Objetivos ó Expectativas de aprendizaje. .......................................... 5

1. Contenido .............................................................................................................................. 6

2. Introducción. ......................................................................................................................... 8

3. Conceptos. Incidentes de Seguridad ..................................................................................... 9

4. Herramienta de gestión de incidentes de seguridad .......................................................... 11

5. Distintas formas de poner un incidente .............................................................................. 12

6. Tipos de Incidentes ............................................................................................................. 12

Incidentes relacionados con el servicio del correo electrónico .............................................. 12

¿Cómo distinguir si estamos ante un SPAM, Phishing y/o email con un archivo malware? ............................................................................................................................................. 13

¿Cómo reportar el incidente? ............................................................................................. 17

Buenas prácticas.................................................................................................................. 23

Incidentes relacionados con el acceso a URLs ........................................................................ 26

¿Cómo identificar problemas relacionados con el gestor de contenidos del aplicativo de seguridad perimetral? ......................................................................................................... 27


Incidentes relacionados con reglas de cortafuegos ................................................................ 30

¿Cómo distinguir este tipo de incidentes? .......................................................................... 30


Incidentes relacionados con el corte de servicio de red ......................................................... 33


¿Por qué se le ha cortado el servicio de red? ..................................................................... 33


Incidentes relacionados con el servicio antivirus .................................................................... 36


7


7. ANEXO A: Glosario de términos. ......................................................................................... 40

8. ANEXO B: Bibliografía. ......................................................................................................... 42

8

2. Introducción. “La seguridad no es más que un aceptable nivel de inseguridad.”

La revolución de las tecnologías de la información, junto con el rápido desarrollo de las infraestructuras de comunicaciones, está provocando que los incidentes de seguridad sean cada vez más difícil de detectar así como más complicados de atenuar o resolver. Un factor muy importante a la hora de tratar un incidente es su rápida su detección, es aquí donde entrar la actuación del usuario final, el cual, debe saber en todo momento a quién dirigirse dependiendo del caso y donde registrar el incidente.

El objeto de este curso es conseguir que el usuario pueda identificar un incidente de seguridad de la información y saber cómo registrarlo.

9

3. Conceptos. Incidentes de Seguridad Entendemos por incidente de seguridad a un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información. Del mismo modo entendemos eventos de seguridad como la ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad.

Para evitar incidentes de seguridad la CARM cuenta con mecanismos preventivos;

MEDIDA PREVENTIVA ¿QUE SE PRETENDE EVITAR?

Filtrado Web Infecciones por malware.

Fugas de información.

Accesos ilegales o pedófilos.

Acceso a urls de Phishing.

…

Software Antivirus Proteger la integridad del software y de la información.

Solución Antispam SPAM.

Acceso a urls de Phishing.

Infecciones por malware.

Política de Seguridad Proporcionar indicaciones para la gestión y soporte de la seguridad de la información de acuerdo con las directrices de la Comunidad Autónoma y con la legislación y las normativas aplicables.

Normas de uso Protección de registros y documentos de la CARM

Mal uso del puesto de trabajo en el entorno laboral.

Mala implementación en la política de uso de contraseñas.

Mal uso del correo electrónico corporativo.

Mal uso del acceso a Internet.

Buenas prácticas (Área de seguridad en rica

Evitar incidentes de seguridad en general

10

http://rica.carm.es/chacp/areaSeguridad/)

11

4. Herramienta de gestión de incidentes de seguridad A la hora de registrar y resolver incidentes de seguridad es muy importante contar con una base de datos de conocimiento, en la cual, consultar posibles casos relacionados con el incidente actual o patrones de comportamiento parecidos al incidente registrado, de manera que se consiga una pronta resolución y conseguir la “normalidad” de los sistemas volviendo al trabajo de nuevo en el menor tiempo posible.

La metodología utilizada en la CARM se denomina ITIL, estas son las siglas de una metodología desarrollada a finales de los años 80’s por iniciativa del gobierno del Reino Unido cuyo significado es el siguiente Information Technology Infrastructure Library o Librería de Infraestructura de Tecnologías de Información.

Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de Tecnologías de Información en todo el mundo, ya que es una recopilación de las mejores prácticas tanto del sector público como del sector privado.

Existen multitud de aplicaciones que siguen la metodología ITIL;

• Remedy: Una de las más extendidas entre los grandes clientes.

• HP OV Service Desk: Una de las más cómodas herramientas que ha desarrollado HP, pero que ahora ha caído en desgracia por la entrada en escena de Service Center.

• Service Center: Extremadamente flexible que te permitirá hacer prácticamente lo que quieras. Propiedad de HP.

• Service Desk Plus: Simple, barato y poco adaptable, cubre las necesidades básicas de un ServiceDesk.

• System Center Service Desk: Herramienta de Microsoft que saldrá en breve al mercado.

En la CARM se ha cambiado de herramienta recientemente, de utilizar hasta hace poco la llamada Service Manager de la compañía HP a la que actualmente se ha puesto en marcha, GLPI.

Esta herramienta que viene de las siglas Gestión Libre del Parque Informático favorece el seguimiento de la metodología ITIL y es la utilizada para gestionar los incidentes de seguridad en la CARM.

12

5. Distintas formas de poner un incidente Una vez detectado un incidente de seguridad el usuario debe proceder de la siguiente manera;

• En general el usuario avisará a su Servicio de Gestión Informática.

Para usuarios de la DGI se reportan por una de las siguientes vías;

Registrando un ticket en la herramienta GLPI. (https://glpi.carm.es)

Vía telefónica en caso de no tener disponible el ordenador, llamando al 368900

Otra opción es mandar un correo al CAU (Centro de atención al usuario) explicando el detalle en el cuerpo del correo. [email protected]

6. Tipos de Incidentes

Incidentes relacionados con el servicio del correo electrónico En relación con el correo electrónico vamos a distinguir tres casos, SPAM, Phishing y correos electrónicos con datos adjuntos o urls que contengan malware.

Antes de empezar vamos a introducir unos conceptos básicos a la hora de comunicarnos vía email (correo electrónico). En el gráfico siguiente se puede ver a grandes rasgos en que consiste este servicio;

Aunque existen multitud de componentes a la hora de enviar o recibir un correo, solo detallamos los más usados;

• Remitente (De: o From:): Es el usuario o entidad que envía el correo electrónico

13

• Destinatarios (o Para: o To:): muestra a quiénes se envió el mensaje.

• Asunto: En este campo se ve el tema que trata el mensaje, si quien envía el mensaje ha dejado esta casilla en blanco se lee [ninguno] o [sin asunto].

Si el mensaje es una respuesta el asunto suele empezar por RE: o Re: (abreviatura de responder o reply). Aunque según de dónde proceda el mensaje pueden aparecer An: del alemán, Sv: del sueco…

Cuando el mensaje procede de un reenvío el asunto suele comenzar por RV: (abreviatura de reenviar) o Fwd: (del inglés forward), aunque a veces empieza por Rm: (abreviatura de remitir).

• Datos adjuntos: si aparece una marca (habitualmente un clip) significa que el mensaje viene con uno o varios ficheros anexos.

Ejemplo:

¿Cómo distinguir si estamos ante un SPAM, Phishing y/o email con un archivo malware?

Para ello vamos a definir los conceptos.

• SPAM: Se denomina spam a todo correo no deseado recibido por el destinatario, procedente de un envío automatizado y masivo por parte del emisor. El spam generalmente se asocia al correo electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a foros, blogs y grupos de noticias

Ejemplo:

14

• Phishing: Es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta. El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía e‐mail, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador.

Ejemplo, tipo 1: Directamente te piden los datos en el correo para que se los envíes.

15

Ejemplo, tipo 2: en el correo electrónico se proporciona un enlace a una página web donde te solicitan la información personal.

16

• Correo electrónico con archivo adjunto sospechoso.

Ejemplo 1: Email con datos adjuntos.

Ejemplo 2: Email con malware a descargar en la URL.

17

Una vez que tenemos claros los conceptos, cuando se reciba un correo electrónico el usuario debe plantearse las siguientes preguntas;

1. ¿Conozco al remitente?

a. Si no se conoce al remitente debe descartar el correo electrónico

2. ¿Esperaba el correo?

a. Si es de un remitente conocido pero no esperaba dicho correo, tenga precaución de lo que en el correo se pida y mucho menos descargue cualquier adjunto que pudiera ir en el correo, pueden haber suplantado la identidad del remitente conocido y estar realizando un ataque en su nombre.

3. ¿Reconozco el archivo adjunto?

a. En el caso de descargar el archivo adjunto de un correo electrónico, analice el archivo con el software anti‐malware corporativo antes de abrirlo, en caso de duda elimine el archivo.

¿Cómo reportar el incidente?

Una vez que llega un correo de los anteriormente descritos debemos realizar los siguientes pasos con el fin de facilitar al servicio de correo y al grupo de seguridad la resolución del incidente.

18

SPAM

Cuando nos llegue un correo no esperado, normalmente de alguna empresa, banco… es necesario reportar al servicio de correo el remitente para que procedan a cortarlo. Para esto es necesario realizar los siguientes pasos cuando se recibe el correo;

En caso de tener un gestor de correo como Microsoft Outlook 2010 siga estos pasos sobre el email SPAM recibido;

1. Pulsar la pestaña “Archivo”

2. Pulsar la opción “Guardar como” y guarde el mensaje en su escritorio.

3. Guardamos como msg el archivo.

19

En caso de tener un gestor de correo como Microsoft Outlook 2007 siga estos pasos sobre el email SPAM recibido;

1. Pulsar el icono del margen superior izquierda y pulsar la opción “Guardar como”

20

En versiones anteriores de Microsoft Office 2007 se encuentra en el menú Archivo > Guardar como.

Si estamos trabajando con el cliente web de correo se deben seguir los pasos siguientes:

1‐ Sobre el email sospechoso pulsar botón derecho, opción “Ver cabeceras”;

2‐ Copiar el contenido que sale en la siguiente pantalla;

3‐ Para finalizar, guardaremos el contenido en un documento en nuestro equipo.

21

De una forma u otra ya tenemos guardado el contenido del correo en nuestro equipo, ahora toca comprimirlo. Botón derecho sobre el fichero > Enviar a > Carpeta Comprimida (en Zip);

Una vez guardado en su ordenador, ya puede suministrarlo al servicio del CAU por una de las vías de comunicación explicadas anteriormente. (Exceptuando la vía telefónica)

a. Vía GLPI. http://glpi.carm.es

Abrimos un ticket desde la opción que se recalca en la captura;

22

Seleccionamos las siguientes opciones;

• Como categoría: …> Aplicaciones Corporativas > Correo Electrónico

• Como Título: SPAM + “asunto del correo”

• Adjuntamos el fichero que previamente comprimimos.

Con estos pasos ya se estaría gestionando el problema y planteando una solución.

b. Vía correo electrónico. ( [email protected] )

Creamos un correo electrónico nuevo con la siguiente configuración:

• Como destinatario: [email protected]

• Como asunto: SPAM “asunto del mensaje sospechoso”.

• Adjuntamos el fichero comprimido al correo electrónico.

23

NOTA: Para tratar correctamente estos incidentes de seguridad es necesario que se envíe adjunto el SPAM

PHISHING

La manera de proceder con el Phishing es similar a la manera de actuar con el SPAM, el tratamiento por parte del usuario es idéntico.

Correo electrónico con malware adjunto

En el caso de recibir un correo con un archivo adjunto sospechoso, habría que actuar de manera similar a como se actúa con el SPAM y el PHISHING con el objetivo de proporcionarle al servicio de correo electrónico el remitente del correo y así poder cortar su envío de correos a otras posibles víctimas.

Buenas prácticas

Es importante seguir los siguientes Consejos y Buenas Prácticas en el uso del Correo Electrónico

• No responder a correos en los que se pida su contraseña. Ni la CARM, ni bancos o cajas de ahorros le pedirán su contraseña.

• No enviar información sensible o confidencial a través del correo electrónico, sino es estrictamente necesario.

• No utilizar el correo electrónico para el envío o recepción de datos personales.

• No utilizar la dirección electrónica de la comunidad para darse de alta en sitios web o servicios que no estén relacionados con la actividad laboral.

• No confiar en correos electrónicos de dudosa procedencia.

24

• No abrir documentos adjuntos ni enlaces sin comprobar el remitente y el contenido del correo electrónico.

• Usar contraseñas robustas y cambiarlas de forma regular (al menos una vez al año). Podrás cambiar y encontrar en Rica una Guía de selección de una buena contraseña. ( (http://rica.carm.es/chacp/idecor/cambiarclave.htm)

• No instalar programas o aplicaciones que no estén relacionados con la actividad laboral.

Últimos tipos detectados por la empresa antivirus Kaspersky 2013;

• Alerta: cambio de contraseña. Suele ser la estafa más habitual utilizada por los ciberdelincuentes, el ataque intenta conseguir los accesos a plataformas online de comercio electrónico, banca, redes sociales,….

El correo se hace pasar por una empresa, incluso simula su página web y solicita al usuario que haga un cambio de sus contraseñas, por algún motivo.

• Reservas falsas. Uno de los últimos engaños son emails falsos que, aparentemente, proceden de compañías aéreas o cadenas hoteleras confirmando una reserva inexistente. El correo pide al usuario que pinche en un enlace malicioso; una vez la víctima cae en la trampa, se le redirige a un página maliciosa donde se oculta un código que puede atacar al equipo informático.

• Vacaciones/Tragedias: las vacaciones o las tragedias son una gran oportunidad para los delincuentes. Todo el mundo recibe emails de personas desconocidas: organizaciones que piden donaciones para las víctimas del huracán Sandy; o compañías que ofrecen servicios especiales para Navidad. Se aconseja que no se abran dichos archivos porque pueden operar de la misma forma que el timo de las reservas falsas.

• ¡Sales en un video divertido en Facebook! ¡Eso no es cierto!: Cuando se hackea una cuenta de Twitter o Facebook, se suelen enviar mensajes a otros usuarios como “Alguien está hablando de ti en Internet”, consiguiendo que la víctima pinche en un enlace adjunto para ver el vídeo donde sale. Como respuesta, el usuario encuentra una advertencia falsa pidiendo que se actualice la versión del reproductor. Cuando éste pincha en el enlace de descarga, en lugar de descargarse una actualización del software, el malware roba la información personal almacenada en el dispositivo.

• Good Site, Bad Link: Los expertos de Kaspersky Lab han encontrado enlaces maliciosos en páginas legítimas como Wikipedia o Amazon, que permiten a los usuarios crear páginas dentro de dichas websites. Los enlaces dirigen a las víctimas hacia otras páginas donde se esconde un código dañino. Afortunadamente, las páginas legítimas

25

eliminan dichos sites falsos; disminuyendo el número de amenazas de este tipo. No obstante, debemos estar atentos.

26

Incidentes relacionados con el acceso a URLs La CARM gestiona los accesos a URLs externas desde los equipos de la CARM, esta gestión se hace a través de una aplicación de seguridad perimetral, llamada Palo Alto.

Esta aplicación es la encargada de analizar las URLs a las que quiere acceder el usuario y permitirle o no el acceso dependiendo de la categorización y la reputación que tenga esta URL. La base de datos de la aplicación viene por defecto con unas URLs clasificadas por categorías, es el papel de la CARM establecer cuáles de estas categorías son permitidas o prohibidas de acuerdo con la política de seguridad de la CARM. Del mismo modo las URLs también tienen asociadas una reputación (0‐100) que funciona de la misma manera y que la CARM ha establecido en un límite, por ejemplo solo se permiten URLs con reputación mayor a 40.

Como decíamos anteriormente la relación URL‐Categoría está almacenada en la base de datos la aplicación al igual que la relación URL‐Reputación IP. A veces ocurre que una URL puede estar mal categorizada o puede ser que se infectase por malware y aunque posteriormente fuese desinfectada Palo Alto siga considerándola como “malware sites”, es en estos casos donde debemos pedir la re catalogación. El funcionamiento a grandes rasgos de este aplicativo en la CARM es el siguiente;

27

La base de datos de categorías asignadas a las URLs son las siguientes;

Más información sobre las categorías en el ANEXO C

La clasificación respecto a reputación sería la siguiente

NOTA: Algunas aplicaciones puede que no tenga su funcionalidad completa debido a que internamente acceden a servicios webs cortados.

¿Cómo identificar problemas relacionados con el gestor de contenidos del aplicativo de seguridad perimetral?

La aplicación cuando chequea las URLs solicitadas por los usuarios de la CARM y verifica en su base de datos que esas URLs pertenecen a una categoría prohibida, el usuario obtiene por pantalla una imagen similar a la siguiente;

28

En la captura se puede ver la IP con la que el usuario está intentando acceder, la URL donde quiere acceder y la categoría asociada a esa URL.

Si el usuario considera que la página está mal catalogada, es decir, se trata de un error del sistema, puede poner una incidencia al CAU de la DGPIT. Si hay indicios de que está mal catalogada se escala al fabricante, que la revisa en menos de 24 horas, corrigiendo la categoría si estaba equivocada.


• Para pedir la re catalogación o revisión de una URL es necesario agregar la URL a la que se intentó acceder en un correo electrónico dirigido a [email protected] y agregar la categoría que obtuvo el usuario en el momento del intento de acceso.

Estos datos pueden obtenerse de la página web que se obtiene al intentar acceder;

29

• Por otro lado, el usuario puede identificar otro tipo de fallo en la categorización de la aplicación, es el caso contrario, que el usuario pueda acceder a URLs que pudieran pertenecer a una categoría prohibida. En este caso debería proceder notificándolo vía correo electrónico a [email protected] , especificando la URL que se quiere cortar el acceso desde la red interna de la CARM. Desde el grupo de seguridad se evaluará la URL y se procederá a cortar el acceso asignándola a su correcta categoría.

30

Incidentes relacionados con reglas de cortafuegos Este tipo de incidentes se darán cuando el usuario no pueda acceder a una URL o a un determinado servicio desde su red. Aquí entran en juego otros aplicativos como son los cortafuegos corporativos. En la imagen se puede observar un dibujo ilustrativo del funcionamiento de este aparato.

¿Cómo distinguir este tipo de incidentes?

Este tipo de incidentes es fácil que se confundan con el anterior tipo de incidentes, sin embargo es muy fácil distinguirlos. Como se puede observar en la anterior imagen, el mensaje obtenido por pantalla por el usuario cuando no tiene acceso a la URL solicitada es distinto. Dependiendo del navegador utilizado puede variar esta imagen, lo que hay que tener claro es que no es del tipo corporativo;

31

Problema con el cortafuegos Problema con el gestor de contenidos


La forma correcta de reportar el incidente es enviar un correo electrónico a [email protected] especificando la dirección a la cual no se ha podido acceder y la IP del equipo donde se ha experimentado el problema.

¿Cómo obtener la IP?

Sobre el icono de los monitores de la barra de inicio de Windows, pulsamos con el botón derecho sobre la opción estado/status

En la siguiente captura se visualiza la IP del equipo;

32

Con esta información (URL de destino y la IP de origen) ya podemos enviar el email al CAU.

33

Incidentes relacionados con el corte de servicio de red Este tipo de incidentes son fácilmente identificables, se producen cuando el usuario no tiene acceso a ningún servicio de internet.


Una de las comprobaciones más sencillas para verificar si nos encontramos en esta situación sería intentar acceder a una URL de internet como puede ser www.google.es y verificar la respuesta que obtenemos. En la siguiente captura se puede ver la pantalla que obtiene un usuario que ha sufrido un corte de servicio de red.

En la pantalla que obtiene el usuario se le proporciona una descripción de lo sucedido y como proceder. El primer punto es “Contacte con su Servicio de Informática”, en el apartado ¿Cómo reportar un incidente? se explica cómo hacerlo.

¿Por qué se le ha cortado el servicio de red?

Este problema viene motivado porque al usuario se le han detectado conexiones sospechosas ya sean de entrada hacia el equipo o de salida, esto se produce cuando el equipo tiene algún tipo de infección malware y como medida preventiva se le ha cortado el servicio de red para que no se produzca fuga de información involuntaria y/o infección de otros equipos, en resumen se pone el equipo en “cuarentena”.

Cuando un equipo se infecta por un troyano generalmente el usuario no observa ningún comportamiento anómalo. El malware, una vez dentro del equipo establece conexiones con servidores externos y puede estar enviando información que tengamos en nuestro equipo sin conocimiento del usuario y/o recibiendo órdenes desde fuera para realizar acciones maliciosas dentro de la red de la CARM siendo todo transparente al usuario.

34


Enviar un correo al CAU ([email protected]) especificando;

• IP de nuestro equipo

• URL a la que se intentaba acceder

• Adjuntar captura de la pantalla obtenida por el usuario, siempre que sea posible, esto ayudará a resolver el incidente.

¿Cómo capturar la pantalla del equipo?

Una vez tengamos la imagen que se obtiene al intentar acceder a la URL de internet, presionamos la tecla “Impr Pant” del teclado.

35

La tecla de imprimir pantalla es la señalada en la siguiente captura. Esta tecla copia una imagen de lo que actualmente se está viendo en la pantalla y la copia en el portapapeles, lo único que habría que hacer a continuación es copiarla en el correo que le enviemos al CAU.

36

Incidentes relacionados con el servicio antivirus Este tipo de incidentes están relacionados con el servicio antivirus. El funcionamiento de un aplicativo antivirus es el mismo sin depender de la empresa que haya contratada (Kaspersky, Panda, Trend Micro…).

El antivirus tiene la funcionalidad de chequear todos los archivos que el usuario tiene en su equipo y clasificarlos como maliciosos o no. Este criterio de asignación de un proceso como malicioso o no lo puede realizar de dos maneras posibles;

• Basado en Firmas (reactivo): Todos los antivirus necesitan descargar “firmas” (también llamados vacunas) para que su funcionamiento sea correcto. Las empresas antivirus recopilan en bases de datos corporativas información sobre el malware que se conoce, esta información recopilada se va actualizando conforme se descubren nuevo malware, esta información recopilada es lo que se conoce como las “firmas” del antivirus. Como hemos mencionado antes, para que el funcionamiento del antivirus sea efectivo, es necesario que periódicamente el producto antivirus esté consultando esta base de datos con las firmas y las descargue para tenerlas en el equipo en local. El equipo cuando esté analizando los procesos del sistema, va cotejando con estas firmas y si verifica que el código malicioso se equipara a alguno de los aportados por las firmas, es cuando el antivirus notifica una infección.

Para generar firmas nuevas el proceso que sigue la empresa antivirus es el siguiente;

Aparece un nuevo código malicioso.

El laboratorio de la empresa antivirus recibe una muestra de ese código.

Se crea la firma para el nuevo código malicioso

Se actualiza el producto con la nueva base de firmas y comienza a detectar el malware.

Aquí radica la importancia de tener el antivirus actualizado.

• Basado en Heurística (proactivo): Este tipo de identificación basada en la heurística realiza la clasificación de un proceso como malicioso o no según un patrón de comportamiento, es decir, si un proceso X se ejecuta, accede a una carpeta de sistema a la cual no debiera acceder, copia elementos en una carpeta temporal, abre una conexión hacia el exterior y envía ficheros… el antivirus considera que es un comportamiento sospechoso pudiendo ser malicioso o no. Este tipo de detección da como resultado un mayor número de falsos positivos1. En resumen la heurística en antivirus permite detectar malware nuevo o desconocido.

1 Un falso positivo es un error por el cual un software antivirus informa que un archivo o área del sistema está infectada, cuando en realidad no es así.

37


La casuística que puede darse con el antivirus es muy variada, podemos identificar posibles incidentes de seguridad ya sea por el mal funcionamiento del producto antivirus o por la sospecha de estar infectado por malware, no obstante la manera de reportar el incidente es muy parecida;

Mal funcionamiento del antivirus

El software antivirus puede enviarnos una gran cantidad de información aunque nos vamos a centrar en errores críticos. Vamos a poner algunos ejemplos del antivirus Kaspersky que es el que la mayoría de organismos tienen instalado.

• Lo primero que tiene que observar el usuario es que la base de datos de firmas de su equipo esté actualizada, como se puede observar en la imagen, pasando el puntero del ratón sobre el icono del antivirus se puede obtener información del producto. En este caso podemos observar si la base de datos de firmas del antivirus está actualizado.

Por defecto cuando el antivirus no está funcionando correctamente pasa a tener uno de los siguientes aspectos detallados más abajo, y dejando el puntero sobre la “K” se obtiene información del evento. Es esta información la que debemos aportar al CAU a la hora de reportar el incidente de seguridad para que puedan solucionarnos el problema.

El icono de la aplicación actúa como indicador d ela actividad de la aplicación. Refleja el estado de la protección del equipo y muestra las operaciones que la aplicación está realizando en ese momento:

• El icono significa que todos los componentes de protección de la aplicación están activados.

• El icono significa que se está analizando un mensaje de correo electrónico.

• El icono significa que se está analizando el tráfico de red entrante y saliente.

38

• El icono significa que está actualizando las bases de datos y los módulos de la aplicación.

• El icono significa que durante el funcionamiento del antivirus se han producido eventos importantes que requieren su atención. Por ejemplo, es necesario reiniciar el equipo debido a una actualización interna del producto antivirus.

• El icono significa que se han producido eventos críticos durante el funcionamiento del antivirus. Por ejemplo, un error en el funcionamiento de uno o varios componentes o daños en las bases de datos de la aplicación.

Sospecha de estar infectado

Si observa un comportamiento extraño de su equipo, es decir, se produce uno de los siguientes casos, puede ser motivado porque está infectado por malware;

• Sobrecarga de CPU, ralentizando el equipo.

• Funciones de Windows dejan de funcionar o se hacen inaccesibles.

• Denegación de servicios

• Imposibilidad de ejecutar el programa antivirus

• Pérdida de propiedades de imagen y sonido

• Pérdida de unidades de almacenamiento

• Pérdida de archivos del sistema

• Tráfico en Internet no justificado

• Aparición de páginas web no solicitadas

• Programas que utilizan Internet dejan de funcionar o empiezan a funcionar mal sin ningún motivo aparente

• Reinicios inesperados.

• Nos pide una contraseña de usuario sin ninguna justificación.

• El sistema no nos permite ejecutar determinados programas

• Mensajes de alerta de virus que no provienen del software antivirus instalado. Síntoma de FAKEav

39


A la hora de reportar el incidente es muy importante recopilar la siguiente información para facilitar el procedimiento de resolución del incidente;

• Dirección IP del equipo afectado.

• Identificador del equipo. El identificador del equipo es un código que puede encontrarse pegado en la torre del ordenador.

• Explicación de lo sucedido y/o observado. Es muy importante ser detallista con lo sucedido ya que puede ayudar mucho en la rapidez de la resolución del problema.

40

7. ANEXO A: Glosario de términos. • CAU: Viene de las siglas Centro de Atención al Usuario y es el grupo encargado de

gestionar los incidentes de seguridad de la CARM.

• Email: Del inglés electronic mail, correo electrónico.

• SPAM: Se denomina ’spam’ a todo correo no deseado recibido por el destinatario, procedente de un envío automatizado y masivo por parte del emisor. El ’spam’ generalmente se asocia al correo electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a foros, blogs y grupos de noticias

• Phishing: Es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta.

El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía e‐mail, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador.

• Malware: Palabra que nace de la unión de los términos software malintencionado “malicious software”. Dentro de esta definición tiene cabida un amplio elenco de programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc.

La nota común a todos estos programas es su carácter dañino o lesivo.

Virus; Programa diseñado para copiarse y propagarse a sí mismo, normalmente adjuntándose en aplicaciones. Cuando se ejecuta una aplicación infectada, puede infectar otros archivos. Se necesita acción humana para que un virus se propague entre máquinas y sistemas. Esto puede hacerse descargando archivos, intercambiando disquetes y discos USB, copiando archivos a y desde servidores de archivos o enviando adjuntos de e‐mail infectados. Los efectos que pueden provocar varían dependiendo de cada tipo de virus: mostrar un mensaje, sobrescribir archivos, borrar archivos, enviar información confidencial mediante correos electrónicos a terceros, etc. Los más comunes son los que infectan a ficheros ejecutables.

Gusanos; En inglés Worm. Es un programa similar a un virus que se diferencia de éste en su forma de realizar las infecciones. Mientras que los virus intentan infectar a otros programas copiándose dentro de ellos, los gusanos realizan copias de ellos mismos, infectan a otros ordenadores y se propagan automáticamente en una red independientemente de la acción humana. De Internet: Tipo específico de gusano que aprovecha los medios que provee la red de redes para reproducirse a través de ella. Como cualquier gusano, su fin

41

es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros equipos informáticos, pero lo que lo califica como un gusano de Internet es que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos específicos o ampliamente utilizados en Internet

Troyanos; Este tipo de 'malware' carente de la capacidad de autoduplicación requiere del uso de la ingeniería social para obtener un correcto funcionamiento. Ya sea por la confianza en quien entrega el programa a la víctima o por su falta de cautela, la víctima instala un 'software' aparentemente inocuo en su ordenador. Al ejecutarse el software no se evidencian señales de un mal funcionamiento; sin embargo, mientras el usuario realiza tareas habituales en su ordenador, el programa abre diversos puertos de comunicaciones del equipo de la víctima que permiten el control absoluto de forma remota.

• Dirección IP: En inglés, IP Address. Número que identifica una interfaz de un dispositivo conectado a una red que utilice protocolo IP.

42

8. ANEXO B: Bibliografía.

• http://rica.carm.es/InfoCAU.htm

• http://rica.carm.es/chacp/areaSeguridad/doc/SDG‐CAT‐prot‐20090216‐PAT_ProtocoloAlertaTemprana(3.2).pdf

• http://rica.carm.es/glpi/ayudausuglpi.html

• http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/

• http://www.viruslist.com/sp/viruses/glossary

• https://www.ccn‐cert.cni.es/

prevención y reacción ante incidentes de seguridad

Documents