Warning, Advice Brokering and Reporting Point

GracielaMartínezCoordinadoraWARP

¿QuéesWARP?• Equipo coordinador y facilitador del manejo de

incidentes de seguridad informática para losmiembros de la LACNIC

• Sitio web: https://warp.lacnic.net/• La comunidad objetivo esta constituida por todas las

organizaciones miembros de LACNIC• El reporte de incidentes podra realizarse:

– Correo electrónico: info-warp@lacnic.net– Formulario web:

https://warp.lacnic.net/servicios/#reportar-incidente

– Los no miembros también pueden reportar

¿Quéhacemos?• Warning – Alertas de Seguridad selecciondas

(Filtered Warnings) - envío de advertencias de seguridad relevantes para la comunidad

• Advice Brokering - WARP provee un ambiente seguro y anónimo de intermediación para la búsqueda, discusión e intercambio de información de incidentes de seguridad y buenas prácticas (sanitise)

• Reporting Point - Reporte de incidentes

Autoridad

• LACNIC WARP no tiene autoridad para actuar sobre las operaciones de los sistemas de su comunidad, a excepción de los sistemas internos propios de LACNIC, por lo que no brindará asistencia directa remota ni in situ para la atención de incidentes de seguridad, aun cuando éstos involucren direcciones de Internet de Latinoamérica y el Caribe.

Incidente deSeguridad Informático

• No existe una única definición

• Un Incidente de Seguridad Informático, podría definirse como una actividad en una red o en un componente de una red, que compromete la información y/o las operaciones de una organización.

Ejemplos yNúmeros• Ejemplos de incidentes de seguridad

– Confidencialidad – acceso a información no autorizada, plan de negocio

– Integridad – modificación de datos, contables– Disponibilidad – servicio no disponible, red

saturada.• Los criminales se han enfocado donde está el

dinero.– Los estudios muestran que la economía de

Internet genera anualmente entre 2 y 3 trillionesU$S, y se calcula que el cybercrimen se lleva entre 15% y 20%

Phishing

• Esunmétododeengañoalosusuariosdiseñadopararobarinformaciónsensible.

• Sepresentanrecursosfraudulentoscomolegítimos,yporlogeneralapuntanarobarlascredencialesdeaccesodeunusuarioaunsistema,conelfindellevaracabofraudesmonetarios.

• Puedeserintroducidoalossistemasmediantecorreoselectrónicosfalsosobienmediantevisitasasitiosdedudosareputación.

Phishing

• Unacampañade phishing esmasiva• JJOOBrasil,TerremotoenEcuador• Todossabemosalgoacercadephishing,perolasestadísticas nosmuestranqueseguimoscayendoysomosvíctimas

Phishing

¿Conocenquéporcentajerepresentaelphishing conrespectoaltotaldelosincidentesquesereportan?

https://warp.lacnic.net/estadisticas/

Elphishing ennuestraregión

EstagráficamuestralosincidentesnotificadosalWARPdesdeotrasorganizacionesdiferenciadosportipo.PAC – Proxyautomatic configuration

Phishing gestionadosporWARPEstagráficamuestralosincidentesgestionadosporWARP

diferenciadosportipo.

Tipos:

Tips dereconocimiento

• Patrón común:NombredeldominiomuysimilaralamarcaoalaURLdelsitiolegítimo.

• Ejemplo– URLlegítima:

http://www.examplebank-uy.uy/– PosiblesURLs usadasparaphishing:

http://www.exampleatbank-uy.uy/http://www.examplectbank-uy.uy/

Tips dereconocimiento

Correoelectrónico- ¿Esperabaestecorreo?- ¿Conozcoelorigen?- Asunto

- Generalmentesonalarmistasporqueesperanasustaralusuarioparaquetomeaccionesrápidassinpensarlasmucho.

- Contienensignosdepuntuaciónexcesivos- Logo– Malacalidad,compañíafalsa,cadavezmejor!- Sr.Usuario- Cuerpodelmensaje(Idioma,gramática)- Firmademensajepuedesergenéricaounacopiadeloriginal

Ejemplo

Correoelectrónico

Hecaído…¿Quéhago?

• Encasodeservíctimadeunfraudeelectrónico,reporteinmediatamenteelproblemaalaorganizacióninvolucradayalcentroderespuestaaincidentesdeseguridadcorrespondiente.

• https://warp.lacnic.net/mapa-csirts/

OTROSTIPOSDEINCIDENTES

• Sextorsion – esunaformadeexplotaciónsexualatravésdeInternet– Chantaje:

• Fineseconómicos• Otrosfines– pornografía

– Nonecesariamenteesrealizadapordesconocidos– Fuentes:cámaraweb,fotosdedispositivos,etc.

OTROSTIPOSDEINCIDENTES

• RANSOMWARE– untipodemalwarequeencriptaarchivosdigitalesypideunarecompensaacambiodelaclaveparadesencriptarlos.

• Ejemplos:CryptoLocker (2013),Locky (Feb.2016),CryptoXXX (Mar.2016)

• Notas:– $325millonesdegananciasalaño– UtilizanlaredTORparaelanonimato– Bitcoins – divisaelectrónica– dificultalatrazabilidad– Pagarlarecompensanogarantizaobtenerlaclave– Todotipodeorganizaciónhasidovíctimadeesteataque

OTROSTIPOSDEINCIDENTES• Advanced Persistent Threats – APT

– Malwarealtamentesofisticado– Requiereindividuosaltamentecalificados,conexpertise en

diferentestecnologías– Recursosfinancieros– Utilizadosencontradeorganizacionesestatales,industrialesy

militares.– Lastécnicas utilizadasparaatacarporlogeneralson“Zero-Day

exploit”paralacomunidaddeseguridad

– Ejemplos:Stuxnet – Pensadoparaatacarsistemasdecontrolindustrial.Sepresumeparasabotearelprogramanucleariraní.Infeccióninicial:desconocida.Propagación:Red,dispositivosremovibles

– Duqu - Objetivo:espionaje.Infeccióninicial:MSWord,Keylogger.Deacuerdoaloquesesabenoinfectómasde50objetivosalolargodelmundo

AlgunosProblemas

• Malalegislación– Vacíolegal– nacionaleinternacional

• Medidasdeseguridadnoadecuadas– contraseñas• DDoS – ISP´s noatacanelproblemadelasbotnets deforma

efectiva

• Faltadeimplementacióndebuenasprácticas– BCP38– antispoofing– Educacióndelosusuarios:entiendanlosriesgos– DNSSEC– RPKI– Desarrolladores:notomanencuentalaseguridaddesdeeldiseño

Algunosproblemas

• Faltadecooperaciónentreorganizaciones• Muchosusuariosnoreportanlosincidentesdeseguridad

• Conocimientodecybercrimen– Dosmayoresfuentes:

• Exposiciónatravésdeterceros– seconoceaalguienquefuevictimadehacking,fraudedetarjetadecrédito,etc

• Exposiciónatravésdelosmedios– artículoson-line,seriesdeTV,películas,etc.

• Muchasveceslasmedidassetomandespues!

Medidas

• Administraciónadecuadadepatches– SistemasOperativos– Aplicaciones– EfectoslimitadosanteZero-Dayexploits,peroprevienequenuevos

sistemasseaninfectados• Segregacióndelared

– Estacionesdetrabajo– HardeningdeServidores• Aplicarpolíticasestrictasdeaccesoainternet,porejemplo

utilizandounawhite list desitios• Inspeccióngranulardetráficoentranteysaliente• Controldelsoftwareainstalaryejecutarenunsistema• Controldecambiosdeconfiguracionesmediantes hashes• Capacitacióndeusuarios

Medidas• Trabajarparamejorarlascomunicaciones:respuestas– Lasrespuestasdesdeotroscentroshacialosincidentesreportadossonescasas,loquegeneradudasacercadesifuerononotratadosoalmenosrecibidosparauntriage.Sedeberátrabajarenlaregiónparamejorarlascomunicaciones.

• SPAM– LascifrasdelSPAMsonmuyvoluminosas,pormásqueesteproblemayaseconoce,seconsideraimperiosocontinuarelanálisisdelosdatosconelfindecomenzaraccionesmásenfocadasasureducción.Ytambiéndegeneracióndepolíticasregionales.

OtrasactividadesdeWARP

• Lac-csirts– ¿Quées?• Sincoordinación todos nuestros esfuerzos soninútiles

– Procedimientodeingreso• AcuerdosconM3AAWG,APWG,LEVEL3• Amparo– LainclusióndelProyectoAmparodentrodelasactividadesdeWARPLACNIC,contribuyealacreacióndelafunciónderespuestaaincidentesdeseguridadentrelosmiembrosdeLACNIC,formapartedelasactividadesdecapacitaciónyawareness quedebedecontemplaruncentroderespuesta.

Cooperaciónregional

NosotroscreemosquelaseguridadesresponsabilidaddetodoslosactoresdeInternet.Enestesentidoseguimosrealizandounaseriedeactividades:• ReunióndeCSIRTSdelaregiónennuestroseventosanuales

• LACNICeshostingparaelFIRSTTECHNICALCOLLOQUIUM

• TodoslosmesestenemosunareuniónvirtualdelalistadeLAC-CSIRTSdondecompartimosinquietudes,proyectos,etc.

gmartinez@lacnic.net