se puede colapsar un pais (enfoque ciber)

Secpro– DavidPereira

Conceptos,DiferenciasyCasosPrácticos

David Pereira

CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC,CICP,CCISOCND.

• +19AñosdeexperienciaenSeguridadInformáticayDFIR

• HackerÉtico– PentesterendiversasEntidadesenelmundo,deámbitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomático,Minero,entreotros.

• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.

• ConferencistaInternacional

Introducción

IntroducciónNecesidades:

Investigaryanalizarlaactividadrealizadaenelciberespacio

Conocerlasamenazaspotenciales/activas

Prepararsepararealizarunplandeacción anteesasamenazas

Saberqué medidasdeberíantomarseanteuneventooamenaza

De estos Factores nacen:

Ciberespacio

Ciberamenaza/Ciberataque

Ciberdelincuente/Ciberterrorista

Ciberseguridad

Ciberdefensa

Ciberinteligencia

Ciberespacio

MundoenlíneadelasredesdecómputoylaInternet.http://www.merriam-webster.com/dictionary/cyberspace

Datosalmacenadosenunsupercomputadororedrepresentadocomounmodelotri-dimensionaldondeunusuariovirtualpuedemoverse.http://www.dictionary.com/browse/cyberspace

Ciberamenaza / Ciberataque

Ciberamenaza:Actividadmaliciosapotencialquepuedeocurrirenelciberespacio.

ElAtacantedebecontarcon:

Ciberataque:AsaltoqueaprovechaunavulnerabilidadenunsistemaconectadoalCiberespacio.

Oportunidad Capacidad Intención

Ejemplos de Ciberataques

CiberespionajeIndustrial

CiberespionajeGubernamental

CiberataqueaInfraestructurasCríticas

Cibermercenarios

CiberdelincuenciaFinanciera

CiberdelincuentesAislados

Ataques a plataformas SCADA

SabotajealGasoductoTransiberiano(1982)Primerciberataqueregistradoaunainfraestructuracrítica.IntrusosimplantaronuntroyanoenelsistemaSCADAquecontrolabaelflujodegasenelgasoductoTransiberiano.Elataquegeneróunaexplosiónde3kilotones.Consideradalamayorexplosiónnonuclearvistadesdeelespacio.


SistemadeAlertasdeEmergenciasdeChevron(1992)UnexempleadodeChevrondeshabilitóelsistemadealarmas,locualnofuedescubiertohastaquesepresentóunaemergenciaenunarefineríaenRichmond.Elsistemanopudoalertardelpeligroaloshabitantescercanosalarefinería.Por10horastodosellosestuvieronexpuestosasustanciasnocivasliberadasenelagua,productodelaemergencia.


StuxnetDetectado por primera vez en 2009, se especula que su propósito era sabotear el Programa Nuclear Iraní, específicamente la planta de uranio enriquecido de Natanz; causando daños físicos en la infraestructura de la planta, y generando un retraso de 4 años en el programa nuclear iraní.Afecta principalmente sistemas Siemens S7 y PCS7.

Ciberseguridad

Estrategias Políticas Estándares

SeguridaddelasOperacionesenelCiberespacio

ReduccióndeAmenaza

ReduccióndeVulnerabilidad

Disuasión

AseguramientodelaInfo.

RespuestaaIncidentes

Resiliencia

RecuperacióndeDesastres

CiberdefensaCapacidadesorganizadaspara:

losefectosdeunCiberataque.

Proteger

MitigarContrarrestar

Ciberdefensa Pasiva

SistemasadicionadosalaArquitecturadeTIparaproveer:

Sinlanecesidaddeunainteracciónhumanapermanente.

DefensaConfiable

VisibilidaddeEventos

Arquitectura de Ciberdefensa

BD

Aplicación

S.O.

Red

Físico /Ambiental

Identidad y Acceso

Seguridad en BD

Firewall de Aplicac.

Endurecimiento S.O.AntimalwareFirewall en Clientes

NAC / VLAN / ACLEncripciónAseguram. WiFiInsp.Profunda Mail/WebAseg. Acceso Remoto

NIDS/NIPS/HIDSFirewall de Redes

Análisis Avanzado de Malware

Segmentación de RedAseguramiento VoIP

Aseguramiento Físico y Ambiental.

Controles de Identidad y

Acceso

Gerencia de VulnerabilidadesSeguridad ProactivaAseguramiento de Acceso y D.A.Capacitación/Concientización

Autenticación FuertePrevención de Perdida de Datos/DLPPolíticas de Acceso / SeguridadRegla de Menor PrivilegioProxy Terminación SSL

SIEM / Correlacionamiento de EventosServicios de Seguridad AdministradosEstrategias de Disaster RecoverySeguridad Endpoints

Ciberdefensa Pasiva

Tomadode:http://www.apcert.org/about/structure/tsubame-wg/

Ciberdefensa Activa

Procesosymecanismosquepermitenalosanalistas:

ResponderalAtaque

AprenderdelAdversario

Ejemplo: Ciberdefensa ActivaOpIsrael:AtaquedelgrupoanonymousaIsrael

https://www.rt.com/news/anonymous-israel-cyber-attack-737/

Ejemplo: Ciberdefensa ActivaCiberdefensadeIsrael;

http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/

Ciberinteligencia

Ciberinteligenciaesunadisciplinaanalítica,lacualincluye:

UbicaciónyCapturadeDatos

AnálisisdelaactividadgeneradaenelCiberespacio

TomadeDecisionesCreacióndeEstrategias

Importancia de la CiberinteligenciaLaCiberinteligenciaesunfactorvitalparalatomadedecisiones anivelgubernamental/ejecutivo,debidoaquepermite:

IdentificarVulnerabilidadesPotencialesdelaNaciónoEntidad

enelCiberespacio.

Identificarenemigos

potencialesdelaNación olaEntidadenelCiberespacio

IdentificareInterceptarcanalesde

comunicaciónenemigos.

Rastrearydetectarplanesdeataquesdirigidos

contraelCiberespaciodelaNaciónoEntidad

“TodaslasoperacionesenelCiberespacio,

comienzanconunSerHumano”

CadenadeDestrucción1.Reconocimiento

2.Weaponization

3.Entrega

4.Explotación

5.Instalación

6.ComandoyControl– C2

7AcciónsobreelObjetivo

Horasa

Meses Recolectar emails,

usuarios, teléfonos,etc. (OSINT)

Prep

aración

Crear archivo con el exploit o malware para entrega

Enviar Mail, Enlace de Internet, Memoria USB o Similar

Explotar vulnerabilidad para ejecutar código en la Víctima

Instalar Malware o Backdoor en la máquina víctima

Controlar a la Victima desde algún lugar remoto por un canal cifrado.

Generar el acto hostil sobre la infraestructura de la Víctima

Segund

osMeses

Intrusión

IntrusionAc

tiva

¿Quétanpreparadoestáelpaíspararesponderantepotencialesamenazas?LoqueEstamosHaciendo:(CCOC)

● CatálogoNacionaldeIC● Protecciónyaseguramientodelas

plataformasinformáticas(IC).● Manejoderespaldotantoparala

informacióncomoparaelservicioquelaplataformapresta.

● Detección,prevenciónymonitoreodeintrusiones.

● ContinuoMejoramientodeCapacidaddeMitigación

Recomendacionesdeciberinteligenciaorientadahacialaciberseguridaddelpaís

Actualmente las entidades gubernamentales tienen sus servicios deinternet dispersos en diferentes servicios de hosting a nivel mundial. Estodificulta la mitigación de ataques, análisis de seguridad, endurecimiento yprotección de la información.

¿Enquépodemosmejorar?

ü DatacentersPropiosconadministracióncentralizada


ü DatacentersPropiosconadministracióncentralizada

UnDatacenter(ogrupodedatacenters)exclusivosparaserviciosgubernamentales,administradoyaseguradoporpersonaldeciberseguridadnacional,permitiríacontrolareficientementepotencialesamenazas,asícomocentralizarauditoríasdeseguridad,análisisdeataques,seguimientodeamenazas,unaúnicareddeprotección,entreotros.


INTELIGENCIADEAMENAZADebemosentendercualessonnuestrasamenazas,comoactúanennuestracontraycómoevolucionan.

-RecordaraSunTzu.

¿Quétanpreparadoestáelpaíspararesponderantepotencialesamenazas?

¿YaNivelInterno?

¿Paraquéserreactivossipodemosserproactivos?

PlantillasdeEndurecimiento(“Hardenización”)queseanaplicablesalainfraestructuraInternadelosEntesgubernamentales;

● SistemasOperativosdeServidoryEstaciones

● RedesInternasyPerimetrales● DispositivosMóviles● Aplicaciones● BasesdeDatos● AuditoriadeCódigoFuente

¿En qué podemos mejorar?

● Unrankingdepotencialesfuentesdeamenazapermiteidentificarunataqueconunaltoniveldeprobabilidad.

● Apartirdeunconsolidadodelhistóricodeataquesrecibidosalasentidadesgubernamentalessepuedeinferirquienessonnuestrosmayoresenemigoscibernéticos.

Basededatosdereputaciónpropia


Carecemosdelainfraestructuranecesariaparadetectarunataqueymonitorizarlo.Enesesentido,seríadebastanteutilidadcontarcontodounsistemadehoneypotsespecialmenteorientadosparalosserviciosinformáticosdelgobierno.Conellossepodríaidentificarunpotencialataqueenelmomentomismoenelquesucede,ubicarsuorigen,hacertrazadesusactividadyobtenerinformacióndeél.Es,deporsí,unmecanismodeseguridaddedeteccióndeataquesmuyeficienteque,nuevamente,seencuentraausenteenlagranmayoríadenuestrosserviciosinformáticos.

Reddehoneypotsy“sifones”paradeteccióndeataques


Situviéramosunaherramientainstaladaencadacomputadordecadamiembrodelafuerzapúblicaafindeutilizarsuanchodebandaencasodenecesitarrepelerunataque,tendríamosunareddedefensademagnitudesgigantescas.

Usaríamoslatécnicadelenemigoensucontra.

RedNacionaldeDefensaDDoS


VincularalosISPytenercanalesfluidosdecomunicaciónafindeconteneroeliminarataquesmediantetécnicascomoBlackHoleFilteringreverso.

RedNacionaldeDefensaDDoS


ImplementarmecanismosdecapturadeinformacióndelosusuariosquenaveganlossitiosdeICdelpaís;

Enelmomentodedetectarunataque,cruzarinformaciónyhacerhackback;

Rastreodepuertos,deteccióndevulnerabilidades,DDoS,FiltrodeISP,etc.deformaautomatizada.

Trackingalatacante


ü ClavesSeguras:

• Nousardatospersonalesofácilmenteadivinables

• Nousarpalabrasindividualesqueseencuentrenenundiccionario

• LongitudMínimade8Caracteres

Ejemplo:C0lombiaP@triaM&a


ü NavegaciónSegura:

• Nonavegarsitiosdesdeenlacesdecorreo

• Herramientas:• Netcraft(http://toolbar.netcraft.com/)

• NoScript(https://addons.mozilla.org/es/firefox/addon/noscript/)

• AdBlockPlus(https://adblockplus.org/es/)• Ghosthery(https://www.ghostery.com/try-us/download-

browser-extension/)

• DoNotTrackMe(https://dnt.abine.com/#register)


ü UsaunAntivirus:

• Kaspersky• Avast• Nod32• AVG• McAfee


ü NoDivulgarse:

• Cuidarlosdatospersonalesquecolocanenlínea

• Cuidarlasfotosquesepublican• Cuidarlainformacióndetufamiliaenlínea

• CuidarloqueseTrina• NoGeolocalizarse


ü EncriptarDispositivos:

• Bitlocker(Microsoft)• Filevault(Mac)• Veracrypt(PC– Mac)• Android• iOS


ü UsarelSentidoComún:

• Sialgo pareceraroofueradelugar:Desconfía

• DebesestarsiempreAlerta!LosCiberdelincuentessiempreestánbuscandonuevasvíctimas!!


¿Preguntas?

David F. Pereira [email protected]@d4v1dp3r31r4

se puede colapsar un pais (enfoque ciber)

Education