Taller sobre Mejores Prácticas

de Seguridad Cibernética

Jorge Pantoja Collantes

Montevideo, Uruguay
Noviembre de 2010
 AGENDA

• Casos Prácticos de los Países

• Presentaciones Internacionales
• Conclusiones
• Recomendaciones
 Casos Prácticos

• CERTuy de URUGUAY, presenta un caso de

Análisis Forense de sus sistemas críticos
relacionados a la ganadería mostrando
dominio de análisis de log por información de
adulteración de la base de datos filtrada a la
prensa.
• Trabajan con la academia estrechamente los
eventos de seguridad de información.
 Caso Práctico

• ARCERT de Argentina, presenta casos de DNS

Round Robin que utilizan los atacantes de
Phishing, Botnet, Fast Flux que involucra a
cambios rápidos entre direcciones IP con
nombres de dominio, típicamente para
prevenir la detección de hosts operando
servicios de forma ilegal.
 Caso Práctico
• Nombre del malware: ElxBot
• Funcionalidad: Puerta trasera/Comando y control
• Origen: Brasil. Sin embargo contiene modificaciones hechas por
diferentes personas. Es un script que ha rondado desde hace por lo
menos 6 años en internet. Su nombre original es Atrix Shellbot.
• Descripción: Aunque solo se entregó un fragmento del script, se
encontraron bastantes referencias de éste en internet. Al parecer
hace parte del programa utilizado para explotar la vulnerabilidad
utilizada para comprometer el servidor en cuestión. Es muy posible
que este se haya utilizado en la primera etapa de compromiso del
sistema.
• Individualización: En el script se encontraron varios elementos de la
configuración del script que pueden permitir individualizar
eventualmente a los autores del hecho, sin embargo como en el
caso del script anterior, no se cuenta con la suficiente información
para hacer un señalamiento específico.
 Caso Práctico
Asunto: Ataque Informático Vice Presidencia
De: Camilo Ramírez <mustaine84@gmail.com>
Fecha: Lun, 2 de Agosto de 2010, 11:00 am
Para: abuse@csirt.gov.py
Prioridad: Normal
Ver encabezado completo | Vista preliminar | Bajar este mensaje como
Opciones:
un archivo
 Caso Práctico
Additional lateral movement,
even more domains and IPs
identified, active C2 sessions,
data exfil, bad news!

bad.dnset.com bad5.dnset.com
bad7.pcanywhere.com
122.224.x.x 216.134.x.x
66.124.x.x
very.bad.otzo.com bad6.otzo.com
66.124.x.x 66.104.x.x

7
 Caso Práctico

• Einstein I (E1)
Netflow
• Einstein II (E2)
Intrusion Detection System
• Cada intrusión involucra múltiples dominios DNS, pero siempre se
inicia con una devolución de llamada
• Resolución de DNS cambia múltiples veces durante cada intrusión;
Bloqueo de IPs es corto, corto en términos de solución.
• En mas del (>70%) intrusiones, hay varios días entre el
compromiso inicial comprometido y la actual actividad C2 en la Red.
• ChangeIP no es solo un juego en la ciudad, también vemos mucha
maldad y miedo, 3322 y Sitelutions
 Caso Práctico

• VENCERT, Venezuela presento su Sistema

Nacional de Incidentes Telemáticos el cual
ofrece servicios proactivos y reactivos
presentaron herramientas de seguridad de
software libre, utilizan sistemas de detección
de intrusos basados en Host utilizan TrueCrypt
para encriptado de datos.
Caso Práctico
 Caso Práctico
HERRAMIENTAS LIBRES UTILIZADAS
 Caso Práctico
HERRAMIENTAS DE MONITOREO WEB
 Caso Práctico
SEGURIDAD A NIVEL WEB
Caso Práctico
Caso Práctico
 Caso Práctico

• CSIRT Chile, retos por resolver:

• Fortalecimiento de intercambio de información FIRST.
• Procedimiento administrativo-jurídicos internos para respaldar el
actuar.
• Red de Conectividad del Estado (2.0) y su rol en la seguridad.
• Llegar a la Ciudadanía en general desde la perspectiva de la
Estrategia Nacional de Seguridad Pública (seguridad física,
seguridad lógica).
• Fortalecimiento del marco jurídico país, y su interrelación con
aspectos internacionales:
• La convención de Budapest
• Impulsar/Apoyar/Crear convenios/acuerdos ya sea bilaterales o
multilaterales
• MERCOSUR (SISME)
AMENAZAS Y VULNERABILIDADES EMERGENTES
• BOTNET MARIPOSA
Redes Robot
Detectada en mayo del año pasado.
12.7 millones de computadores infectados alrededor del mundo.
Propagación muy efectiva a través de redes P2P, dispositivos USB, y enlaces
MSN.
Oferta de Kits para el cibercrimen con la Botnet Mariposa mediante el portal web
VXER (actualmente deshabilitado).

• CODIGO MALICIOSO

• Amenazas a los teléfonos inteligentes.

• TabNabbing

Su estrategia es tomar la apariencia de un sitio que utilizas, sin embargo, no

cambia la dirección, ni el código fuente de la página que estabas utilizando
anteriormente, por esa razón sólo debes estar al tanto de éstas dos características
para que TabNabbing no robe tus datos personales.
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
Sobrevivencia y Continuidad de Negocio en un mundo
con Amenazas Emergentes

• Crimeware es cualquier tipo de Malware que ha sido diseñado y

desarrollado para perpetrar un crimen del tipo financiero o
económico. El término fue definido por el Secretario General del
Anti-Phishing Working Group, Peter Cassidy, para diferenciar este
tipo de amenaza de otras clases de Software Malicioso.

• Crimeware as a Service (CaaS), es el ofrecimiento a través de la

Web de servicios de creación, actualización, cifrado y polimorfismo
del Malware instalado en el cliente.

• Criminal to Criminal (C2C). Este concepto se define como el negocio

realizado entre criminales a través de diferentes canales. De este
modo se conforma el mercado negro virtual, en donde se trafican
códigos maliciosos e información obtenida de forma fraudulenta a
cambio de dinero
Sobrevivencia y Continuidad de Negocio en un mundo
con Amenazas Emergentes
KIT DE ATAQUE
Sobrevivencia y Continuidad de Negocio en
un mundo con Amenazas Emergentes
Sobrevivencia y Continuidad de Negocio en
un mundo con Amenazas Emergentes

 Ingeniería Social

 Inyección de la aplicación o el Script en sitios Web

 Explotación de vulnerabilidades en sitios Web

 Explotación de vulnerabilidades en las aplicaciones

y/o sistemas operativos

 Inserción de aplicaciones dañinas en software

conocido o creación de aplicaciones falsas (rogue /
scareware)
Sobrevivencia y Continuidad de Negocio en
un mundo con Amenazas Emergentes
PRIORIDADES Y DESAFIOS PARA LOS CSIRT
GUBERNAMENTALES CGTIR – BRASIL
• DESAFIOS
o Ampliación de capacidades de daño de nuevos malwares
o Luchar contra el Crimen organizado utilizando el ciberespacio
o Sensación de impunidad

• PRIORIDADES
o Expansión de internet a toda la población.
- iniciativas Privadas < Banda Ancha
- iniciativas Pública > Inclusión Digital
o Crecimiento seguro de E-Goverment
o Seguridad y rapidez
o Controles de los .gob (esferas de gobierno)
o Cloud computing – Redes Sociales
Uso por el gobierno
o Cyber Seguridad x Defensa cibernética
- Papel del CSIRT
Open Source Incident
Management Use Case:

University Incident Management Team with

National Responsibility

OAS – CICTE Conference Montevideo

15-17 November 2010

Robert Floodeen – CERT Resilient Enterprise Management Team

John Haller – CERT Resilient Enterprise Management Team

© 2010 Carnegie Mellon University

 Communicate - 1
Track Communications • Support Your Language?
• Unicode?
• Ticketing System* • IODEF ?
– Request Tracker – Incident • Multiple PGP Ticket Encryption?
Response (RT-IR)
• bestpractical.com/rtir
• bestpractical.com/static/rtir/
rtir-presentation.pdf

– Application for Incident

Response Teams (AIRT)
• airt.leune.com/

* Consider Implementing support to Graph-Databases. CERT/CC will be releasing a Technical Note in 2011 on this topic
Communicate - 2
E-Mail
• Managing Email Groups
– Automated
– Spam Filtering
– Built in AV
– Moderated
– Privacy

• LISTSERV
– www.lsoft.com/products/lists
erv.asp
 Communicate – 3
Secure Instant Messaging, IRC, QoS for data throughput management
Requested Attributes in WHOIS
and PGP SILC Public Key format
passphrase and public key auth based on digital signatures
• Gnu Privacy Guard AES, Twofish, Cast-256, Blowfish, RC5
– PGP Compatible SHA-1, MD5 RSA (PKCS #1 version 1.5)
Diffie-Hellman key exchange (PKCS #3)
• www.gnupg.org/ CBC, Randomized CBC
default 256 bits, 192 bits, 128 bits
public key default 2048 bits, up to 16384 bits
• IRC and IM Diffie-Hellman groups: 1024 bits, 1536 bits, 2048 bits
cryptographically strong random number generator
– Use PGP Keys for
authentication
– Provide conference chat like
capability securely
– Compatible client to use with
other IM and IRC servers
• SILC Pidgin and SILC Server
– silcnet.org/
Communicate - 4
Data Visualization
• Integrate with tickets
• Populate reports
• Interactive analysis
– Network Data
• www.eqnets.com
– Security Visualization
• Secviz.org
 Monitor - 1
Server and Application Status
• Push and Pull status
• Customizable Front Ends
• Add-ons for Notification
Capabilities
– to incorporate into ticketing
systems
• Systems of System capable
• Nagios
– www.nagios.org/
 Monitor - 3
Intrusion Detection
• Network Sensor
– Snort www.snort.org/
– Bro IDS www.bro-ids.org/
– YAF tools.netsa.cert.org/

• Host based Sensor

– OSSEC www.ossec.net/

• Analyst Console
– Sguil www.sguil.org/
 Analysis
Malware Forensics
• Sandbox • CAINE Live CD
– mwanalysis.org/ – caine-live.net
– www.norman.com/security_c • CERT Forensics Appliance
enter/security_tools/
– www.cert.org/forensics/repos
• Antivirus itory/
– Clam AV • Forensics Wiki
• Network Packets – www.forensicswiki.org
– Wireshark • Create VM’s from disk
– chaosReader.pl images
– liveview.sourceforge.net
National Cyber Security Division
Cyber Security Overview
November 17, 2010

Department of Homeland Security

Cybersecurity and Communications
National Cyber Security Division
Cyber systems are the backbone of our Nation’s economic,
security, and government critical functioning
Cyber Infrastructure, which represents the convergence of information
technology and communications systems, in inherent to nearly every aspect of
modern life

Cyber Infrastructure
Emergency
Services
Transportation

Banking &
Finance
Illustrative examples only -- not all inclusive
Government Energy

4/20/2019 33
Interdependencies between physical and cyber infrastructures can
lead to cascading effects in an attack or catastrophic event

4/20/2019 34
 CONCLUSIONES

• Sensibilización, capacitación y educación en seguridad

de la información en todos los niveles (usuario final,
técnicos, directivos, estudiantes, abogados, etc.).
• Importancia del conocimiento de los puntos de
contacto oficiales por cada país para el tratamiento y
resolución de incidentes telemáticos de una manera
efectiva.
• Vital para los CERTs / CSIRTs la interacción constante
con la comunidad atendida.
• Los riesgos no pueden ser eliminados totalmente,
siempre quedará un riesgo remanente sobre el cual se
deberán tomar medidas de recuperación efectivas.
 RECOMENDACIONES

• Formalizar el CERT del Minedu que se integre

a la Red Mundial.
• Establecer una política de Educación en
Seguridad a través del Proyecto OLPC.
• Implementar software libre para monitoreo de
eventos y Auditoria forense.
• Fortalecer los mecanismos de
conciencitización en el usuario final.