La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ECrime.- Las nuevas amenazas Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico.

Presentaciones similares


Presentación del tema: "ECrime.- Las nuevas amenazas Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico."— Transcripción de la presentación:

1 eCrime.- Las nuevas amenazas Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico

2 Los 10 factores del e-crime Algunos números Nuevas amenazas Motivos MaaS: Malware as a Service Nuevos negocios Nuestro equipo Nuestros Servicios Preguntas Agenda

3 Ponente Ingeniero Informático Sistemas (UPM), CISA. Experto en Seguridad, eCrime Ponente en Securmática, Infosecurity, Techday, … Director de Operaciones de S21sec últimos 4 años Director de Desarrollo Corporativo (Ahora … México)

4 Los 10 factores del e-crime

5 Los 10 factores 1. Cada vez somos más vulnerables al crimen en Internet 2. La frecuencia de los incidentes es mayor, así como su sofistificación 3. No existe una base legal bien definida 4. El carácter distribuido de los incidentes genera problemas de jurisdicción 5. No existen estructuras funcionales de cooperación 6. Hoy en día, no está clara la responsabilidad de los incidentes

6 Los 10 factores 7. La concienciación de los usuarios es mínima 8. El crimen organizado cuenta con multitud de recursos 9. El anonimato y la facilidad de operar en Internet 10. Necesitamos nuevas herramientas, servicios y capacitación para hacer frente

7 Algunos números Uno de cada tres ordenadores está infectado Cada incidente global: media de máquinas infectadas Número de incidentes globales: Google: 10% de las páginas son maliciosas Antivirus: reconocen que no pueden soportar el ritmo: miles de nuevos códigos dañinos al día Durante 2007, se calcula que hubo miles de ataques de ciberespionaje Cada incidente investigado por S21sec: media de 4Gb de datos capturados

8 Casos de fraude

9 Casos Phishing 2007

10 Casos de Troyanos

11 Nuevas Amenazas ¿Somos conscientes de la información presente en Internet? Fugas de información Abuso de marca Atentados contra el honor e imagen El Fraude no sólo está afectando a las entidades financieras eCommerce Robo de identidades (y su conexión con el terrorismo) ISP: clientes infectados (SPAM, ataques, botnets) Gobiernos

12 Nuevas Amenazas (II) Los casos de phishing son sólo la punta del iceberg Click Fraud / Pay por install Iframe business, SEO Botnets: SPAM, DDoS, proxy Conexión con fraude real e incluso terrorismo Relacionado con el código malicioso: No existe la solución perfecta, las antiguas no sirven Drive-by exploits combinados con SEO Ataques muy dirigidos usando vulnerabilidades no conocidas (Microsoft Office) Globalización: Europa del Este, China y Brasil (conexiones) Países emergentes con ataques focalizados pero ya se intuyen expansiones (Asia) No es necesario tener conocimientos, fáciles de adquirir (webfile!!!) TDS, Agent, Barracuda, d1ez, DDOS Admin, ZeuS, FTP-Toolz, IcePack, Infector, Metaphiser, Mpack, Multiexploits, Neosploit, Apophis, Pinch, RDMaster, Snatch, Socks Proxy Panel, Traffic Pro, VisualB, WebStats, WW Loader, Zunker, Zupacha, … Luchas internas debido a la no confianza (backdoored)

13 Motivos Económicos (mass attacks) Phishing, pharming, vishing, SMSing, scam Click-fraud Pump & Dump Iframe and DDoS business Religiosos (dirigidos) Dinamarca vs mundo islámico Políticos (dirigidos/mass) USA, China, Corea, Israel, … Rusia vs Estonia Industriales (dirigidos) Ciberespionaje: CEO, secretarias

14 Motivos

15 Los gobiernos se están tomando muy en serio el peligro de la seguridad informática y los ataques a empresas e instituciones oficiales. Alemania en concreto, según el semanario "Der Spiegel" ha sufrido ataques chinos en los últimos meses que han afectado a numerosos ordenadores del gobierno alemán, en la forma de troyanos que supuestamente habrían enviado cientos de Gigabytes hacia el extremo oriente."Der Spiegel"numerosos ordenadores del gobierno alemán Desde que se descubrieron internamente en Mayo, los expertos IT del gobierno alemán supervisaron el tráfico generado por los troyanos e impidieron el envío de 160 Gigabytes hacia su destino final. Motivos

16 Ya en el mes de febrero 2007 este mismo semanario publicaba una noticia advirtiendo del gran incremento de ataques chinos a medianas empresas alemanas, especialmente de medicamentos, piezas de automóvil,... Según este mismo articulo, las empresas medianas son especialmente vulnerables por no disponer de las medidas de seguridad adecuadas. Se cita como factores de riesgo adicional la telefonía por Internet e incluso la información al alcance de becarios. Para muestra las siguientes fotos en las que se puede apreciar el supuesto plagio de un autobús MAN Starliner completo. Motivos

17 Motivos económicos

18 Phishing, pharming, vishing, SMSing, … Entidades financieras Gobiernos Pagos online Juegos online Subastas online Redes sociales Se busca al eslabón más débil de la cadena Ingenieria Social Motivos económicos

19 MaaS: Malware as a Service Capas en el modelo MaaS 1.Capa de Red (3-4 OSI layer) 2.Capa de Aplicación (7 OSI layer) 3.Capa de la infección (client exploits): una posible capa 8 4.Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa Cada capa necesita diferentes herramientas y procedimientos Es necesario correlar toda la información de cada capa para entender la amenaza

20 MaaS: Capa de Red Capa de red Bullet-proof hosting: RBN, HostFresh, Abdullah, … Fast-flux: bajo TTL. Single y Double Redes VPN Proxies inversos (nginx)

21 MaaS: capa de Aplicación Paneles de control donde se controla todo Información robada Órdenes que se envían a las máquinas Ataques de DDoS Generalmente, LAMP (Linux+Apache+Mysql+PHP) Alrededor de $1000 pero muchas veces accesibles en sitios públicos (backdoors) Evolución: IRC + HTTP+ P2P (Storm)

22 C&C Example (I)

23

24

25

26

27

28

29

30

31 C&C Example (II)

32

33

34 C&C Example (III)

35

36

37

38

39

40

41

42

43 MaaS: Capa infección Propagación Ads maliciosos SEO malicioso Mass SQL Injection Vulnerabilidades en aplicaciones web (SQL Injection, XSS, …) Credenciales FTP ARP Spoofing Objetivo Client side exploits: Office, Browsers, Acrobat, Quicktime, WinZip, …

44 MPack Servidor Web legítimo (www.midominio.com) Panel Control de Exploits Panel Control de Botnets Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El troyano se conecta con su master Servidor Web de Exploits El atacante compromete una web y le inyecta un iframe Atacante iFRAME El usuario se conecta a una página web normal (con el iframe) Usuario El usuario es redirigido a una web que tiene un exploit para navegadores MaaS: Capa infección

45 MPack

46 ExploitPatchAñadido a MPackID Firefox 1.5, Opera 7.x 14/02/200624/09/2006MS IE 611/04/200624/09/2006MS Windows 2000 MMC 08/08/200624/09/2006MS WebViewFolderIco n 10/10/200613/03/2007MS IE XML Overflow11/11/200620/12/2006MS WinZip ActiveX Overflow 14/11/200613/03/2007CVE QuickTime Overflow 02/01/200713/03/2007CVE ANI Overflow04/04/200703/04/2007MS07-017

47 AdPack

48 IcePack

49 MaaS: Capa código malicioso Objetivos Robo de información Control de la computadora Técnicas Inyección procesos Anti-todo (sandbox) BHO + HTML Injection Updates Stealth

50 Información robada Credenciales almacenadas: Mail (Outlook, Notes, Thunderbird, …) Certificados (claves privadas y públicas) Credenciales acceso VPN … Información enviada por el browser Logins y passwords Webmails Intranet Cookies …

51 Nuevos Negocios

52

53 Nuestro equipo S21sec 24x7 V i r t u a l T e a m s Fuentes externas Listas privadas BTF, DPN, APWG, NCFTA, ENISA, LE, iDefense, Microsoft, VeriSign… Reuniones internacionales

54 Nuestros Servicios Servicios de fraude Deteccion Remediación Servicios de WebMalware Detección Protección Servicios de Vigilancia Digital Protección de marca Protección de personas Servicios de Inteligencia Capacitación

55 Resumen La amenaza es real. Diversos motivos Globalidad de los ataques. Carácter distribuido Es necesario contar con herramientas, procedimientos y capacitación específica La Seguridad como la entendíamos hasta ahora ha cambiado Cortafuegos, AV, IDS, … son válidos, pero añadamos más capas

56 ¿Preguntas?

57 eCrime.- Las nuevas amenazas Modelos de negocio Pedro Sanciprian (Director General S21sec Mexico) Alfonso del Castillo (Director Desarrollo Corporativo)


Descargar ppt "ECrime.- Las nuevas amenazas Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico."

Presentaciones similares


Anuncios Google