Lineamientos y Monitoreos frente a las mayores amenazas presentadas en 2013 Tercer seminario sobre la Política de Seguridad de la Información Yuko Shiraishi.

Presentación del tema: "Lineamientos y Monitoreos frente a las mayores amenazas presentadas en 2013 Tercer seminario sobre la Política de Seguridad de la Información Yuko Shiraishi."— Transcripción de la presentación:

1 Lineamientos y Monitoreos frente a las mayores amenazas presentadas en 2013 Tercer seminario sobre la Política de Seguridad de la Información Yuko Shiraishi JICA expert team 23_25 de septiembre de 2014

2 Aplicaciones para prácticas AplicacionesUbicación 1WinSCP\applicaciones 2EMET\applicaciones\1.2 EMET 3text.zipapplicaciones\1.2 EMET\exploit1 4Cmd shellAplicación de Windows 2

3 WinSCP 3 192.168.168.82

4 Contenidos Transferencia bancaria no autorizada 5 Ataque DDos 4 Alteración de página Web 3 Virus vs. AntiVirus 2 Los mayores 10 amenazas 2013 1 Fuga de información 6 4

5 1. Los mayores 10 amenazas 2013

6 Los mayores 10 amenazas en 2013 Publicado por IPA (Information Technology Promotion Agency) en Japón Seleccionado por 117 expertos de seguridad de la información anualmente 6

7 10 amenazas mayores 2014 Amenazas 1Espionage e inteligencia a la organización por el correo electrónico objetivo 2Login, uso no autorizado 3Alteración de la página Web 4Fuga de información de usuarios a través de servicio web 5Transferencia bancaria no autorizada 6Instalación de software malicioso en smartphone 7Publicación de información al SNS (facebook, twitter, etc) 8Fuga de información debido a la pérdida o configuración no adecuada 9Fraude y amenaza por virus ( encriptación de información de usuarios) 10Denegación de servicio 7

8 Num.6 de Instalación de software malicioso en smartphone 8

9 9 Num.9 de fraude y amenaza por virus Se ha bloquado su ordenador. Hay que pagar 50euros dentro de 24 horas.

10 AmenazasImpacto 1Espionage y inteligencia a la organización por el correo electrónico objetivo Fuga de informaión 2Login, uso no autorizado Fuga de informaión Robo de dinero 3Alteración de la página Web Fuga de informaión Perjuicio a otros 4Fuga de información de usuarios a través de servicio web Fuga de informaión 5Transferencia bancaria no autorizada Robo de dinero 6Instalación de software malicioso en smartphone Fuga de informaión 7Publicación de información al SNS (facebook, twitter, etc) Mala fama y impresión de organización 8Fuga de información debido a la pérdida o configuración no adecuada Fuga de informaión 9Fraude y amenaza por virus ( encriptación de información de usuarios) Robo de dinero 10Denegación de servicio Perjuicio de negocio 10 Los mayores 10 amenazas en 2013

11 AmenazasVirus 1Espionage e inteligencia a la organización por correo electrónico objetivo  2Login, uso no autorizado 3Alteración de página Web  4Fuga de información de usuarios a través de servicio web  5Transferencia bancaria no autorizada  6Instalación de software malicioso en smartphone  7Publicación de información al SNS (facebook, twitter, etc) 8Fuga de información debido a la pérdida o configuración no adecuada 9Fraude y amenaza por virus ( encriptación de información de usuarios)  10Denegación de servicio 11 ¿Cuáles son originados por Virus?

12 vs. (virus)(antivirus) 2.

13 Tecnología innovador de AV 1.Inspección de ataque conocido 1.1 Basado en firmas 1.2 Servicio de reputación 2.Inspección de ataque desconocido 2.1 Heurístico estático 2.2 Heurístico dinámico (Basado en conportamiento) 2.3 Basado en riesgo 13

14 1.1 Basado en firmas Detección reactiva Mediante la búsqueda de la firma o cadena que identifica a cada uno de ellos Cada firma es una secuencia corta de bytes que se extrae del cuerpo de un virus dado 14

15 Mecanismo Virus X Patrón: “0011001100011” Virus Y Tamaño : 14924 Byte Hash: 33F91AE00 Archivo de firmas 0011001100011 Hash 33F91AE00 Tamaño 14924 Hash 33F91AE00 Tamaño 14924 Archivo 1 Archivo 2 Virus X Virus Y Cadena de bytes o una cadena de bits llamado un "patrón" se registra en la base de datos. 15

16 Demeritos de detección por firmas Incremento por la modificación automática de virus – 2013: 23,000,000 tipo de virus – 2015:100,000,000 tipo de virus – Incremento de 115% por año Los nuevos virus desconocidos no se detectan No se puede analizar el código encriptado 16

17 Tecnología innovador de AV 1.Inspección de ataque conocido 1.1 Basado en firmas 1.2 Servicio de reputación 2.Inspección de ataque desconocido 2.1 Heurístico estático 2.2 Heurístico dinámico (Basado en conportamiento) 2.3 Basado en riesgo 17

18 1.2 Servicio de reputación Comprueba la credibilidad de los sitios y páginas Web mediante la base de datos de la reputación de dominios Asigna puntuaciones de reputación a los dominios Web y a las páginas o enlaces individuales dentro de los sitios Permite o bloquea el acceso a los sitios por parte de los usuarios 18 Fuente: http://docs.trendmicro.com/all/ent/officescan/v10.6/es- es/osce_10.6_olhsrv/OHelp/Smart/wrepss.htm

19 Conexión con servidor C&C es importante para atacantes Sobre todo en caso de APT Siempre conecta con C&C para recibir instrucciones 19 Servidor C&C Los virus necesitan establecer la comunicación con los servidores. Para que no los sospechen, cambian el destinatario por DNS para evitar la comunicación con el mismo URL.

20 ¿Quién gana? Creación aleatoria de Dominio con algoritmo de generación de Dominio. 20

21 ¿Quién gana? Creación aleatoria de Dominio con algoritmo de generación de Dominio. Vendedores de seguridad intenta desconectar la comunicación con dominio recien creada dentro de 7 días 21 Vs.

22 Tecnología innovador de AV 1.Inspección de ataque conocido 1.1 Basado en firmas 1.2 Servicio de reputación 2.Inspección de ataque desconocido 2.1 Heurístico estático 2.2 Heurístico dinámico (Basado en conportamiento) 2.3 Basado en riesgo 22

23 2.1 Análisis heurístico estático Analiza el código en busca de atributos sospechosos (comandos) característicos de programas maliciosos – Buscar programas ejecutables – Abrir los archivos encontrados – Modificar programas ejecutables Incrementa “contador de sospechosos” si algún comando sospechoso es encontrado. – Si el valor del contador después de examinar el código entero de la aplicación excede los parámetros predefinidos, el objeto es considerado como sospechoso 23

24 Deméritos La detección para nuevos códigos es baja El ratio de falsos positivos es alto – Falsos positivos: detección de un archivo como virus por parte de un antivirus, cuando en realidad no es ningún virus o malware. No es válido para el código encriptado 24 La solución es

25 Deméritos La detección para nuevos códigos es baja El ratio de falsos positivos es alto – Falsos positivos: detección de un archivo como virus por parte de un antivirus, cuando en realidad no es ningún virus o malware. No es válido para el código encriptado 25 Combinación con heurístico dinámico La solución es

26 Tecnología innovador de AV 1.Inspección de ataque conocido 1.1 Basado en firmas 1.2 Servicio de reputación 2.Inspección de ataque desconocido 2.1 Heurístico estático 2.2 Heurístico dinámico (Basado en conportamiento) 2.3 Basado en riesgo 26

27 2.2 Análisis heurístico dinámico Emular la ejecución de una aplicación en un entorno virtual seguro Sandbox (Cajón de arena) antes de que el usuario lo utilice en su ordenador Medida contra día cero 27

28 Qué hacer dentro de Sandbox Ejecutar automática o manualmente programas desconocidos – Por si contienen algún virus, programas espías u otro software malicioso. Ejecutar su navegador de la Web – Verificar si contrae daños en la Web que visita – Evitar que cualquier programa malicioso que exista en su PC pueda captar sus credenciales de conexión a sitios o los detalles de pago de compras que hizo en línea. 28

29 Qué hacer dentro de Sandbox Ejecutar automática o manualmente programas desconocidos – Por si contienen algún virus, programas espías u otro software malicioso. Ejecutar su navegador de la Web – Verificar si contrae daños en la Web que visita – Evitar que cualquier programa malicioso que exista en su PC pueda captar sus credenciales de conexión a sitios o los detalles de pago de compras que hizo en línea. 29 Pero los atacantes ya saben de esta técnica

30 Técnica de Malware para Evitar Sandbox 1.Evitación del análisis 1.1 Reconocimiento de ambiente virtual 1.2 Truco de silencio 1.3 Código de cifrado 2.Evitación defensiva – Heap spray – Evitación de prevención de ejecución de código malicioso (DEP) 30

31 1.1 Reconocimiento de ambiente Virtual Evitación del análisis de Virus Detecta la presencia de Sandbox creado por VMWare por chequear sus servicios o archivos específicos – Servicios específicos de VMWare: vmicheatbeat, vmci, vmdebug, vmmouse, vmscis, VMTools, vmware, vmx86, vmhgfs, and vmxnet – VM devuelve no cero para función RegOpenKeyExA() 31 VM: Vitual Machine (Máquina virtual)

32 Troyano “UpClicker” Servidor C&C 1.UpClicker instalado 32

33 Troyano “UpClicker” Servidor C&C 1.UpClicker instalado 33 2. un clic del botón izquierdo

34 Troyano “UpClicker” Para engañar a los entornos limitados, UpClicker establece la comunicación con los servidores CnC maliciosos sólo después de la detección de un clic del botón izquierdo del ratón(diciembre 2012) 2. un clic del botón izquierdo Servidor C&C 3. establece la comunicación con los servidores 1.UpClicker instalado 34

35 Sandbox examina unos minutos 35 Dado que AV examinan multitud de archivos, los Sandbox monitorean archivos durante unos minutos y, a falta de cualquier comportamiento sospechoso, pasan al archivo siguiente. Determina sospechso o no Progr ama En espera de pasar al Sandbox

36 1.2 Truco de silencio 36 Esperan durante el examen del sandbox añadiendo llamadas prolongados de sleep API, para evitar que cualquier comportamiento sospechoso del malware a lo largo del proceso de seguimiento. Determina que no es sospechoso Progr ama zzz… dormiré un rato

37 Ejemplo Troyano Hastati Corea del Sur en marzo 2013 Usado para un ataque masivo destruyendo datos Hastati utiliza el método API GetLocalTime () – Determinar la fecha y hora local actual – Si la máquina virtual no está monitoreando el archivo en ese momento, el malware se despierta y se ejecuta 37

38 Tecnología innovador de AV 1.Inspección de ataque conocido 1.1 Basado en firmas 1.2 Servicio de reputación 2.Inspección de ataque desconocido 2.1 Heurístico estático 2.2 Heurístico dinámico (Basado en conportamiento) 2.3 Basado en riesgo 38

39 2.3 Basado en riesgos Autenticación basándose en ciertos criterios de riesgo, tales como: – Ubicación geográfica – Dirección IP – Compara la configuración y los servicios del sistema actualmente en ejecución con la usual Tarjeta de crédito – Me advierte si la uso de otros paises 39

40 ¿Todos AV son iguales? 40 http://www.av-comparatives.org/dynamic-tests/http://www.av-comparatives.org/dynamic-tests/ AV (Austraria)

41 Grado de protección http://www.av-comparatives.org/wp- content/uploads/2014/07/avc_prot_2014a_en.pdf 41

42 VB RAP (Reactive And Proactive) test (Englaterra) https://www.virusbtn.com/vb100/latest_comparative/index Detección de virus desconocido 42

43 No podemos contar con solo AV para medidas contra día cero AV – Inspección de ataque desconocido depende de la tecnología de los vendedores DEP – Prevención de ejecución de datos EMET – Enhanced Mitigation Experience Toolkit – Windows EPM – Enhanced Protected Mode en (solo) IE – Windows 43

44 Ataque de día cero (Zero day) Un ataque contra una computadora, basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. 44 Creación de Malware Generación de Parches Aplicación de Parches Ataque de día cero

45 ¿Qué es DEP? Data Execution Prevention – Prevención de ejecución de datos Sunpensión del programa y notifica (pero no detecta el virus) – Utilidad de Windows Limitar la ejecución de código que se coloca en la memoria Stack / Heap Medidas contra Buffer Over Flow 45

46 ¿Dónde está DEP? 1.Propiedades del sistema 2.Opciones Avanzadas 3.Clicar Configuración del partado Rendimiento 46 Panel de control-> Sistema y seguridad->Sistema- >Configuración avanzada del sistema

47 4.Prev. de ejecución de datos 47 ¿Dónde está DEP?

48 EMET Enhanced Mitigation Experience Toolkit de Microsoft Herramienta para vulnerabilidad de Windows Medidas contra día cero Impide ejecución de código malicioso desconocido por terminazión forzada de aplicación – Ayuda a proteger al desviar, darlo por terminado, el bloqueo, y de invalidar esas acciones y técnicas – Pero no los elimina 48

49 Funciones EMET DEP(Data Execute Prevention) SEHOP(Structured Exception Handler Overwrite Protection) NullPage(Null Page pre-allocation) HeapSpray(Common heap spray address pre- allocation) 49

50 Structured Exception Handler Overwrite Protection (SEHOP) 50 Structured Exception Handler (Manejador estructurado de excepciones) Cadena de SEH Ataque que ejecuta código arbitrario al sobrescribir la área de la SEH Overflow!

51 Structured Exception Handler Overwrite Protection (SEHOP) 51 Structured Exception Handler La Cadena de SEH está cortada por la modificación SEHOP comprueba si el atacante realizó algún cambio en la cadena de SEH. Overflow!

52 ¿Cómo instalar? http://www.microsoft.com/en- us/download/details.aspx?id=41138 52

53 ¿Cómo usar? 53 1.Desde el menu principal haga clic en la cinta “Apps“

54 ¿Cómo usar? 54 2.Haga clic en el botón "Añadir aplicación"

55 Ejercicio1 1.Ejecutar test.exe 2.Si la ventanilla aparece, está ejecutando en buffer overflow 3.Incluir el programa “test.exe” en EMET 4.Ejecutar el programa de nuevo. Debe de suspender la ejecución por la intervención de SEHOP 55 http://resemblances.click3.org/?p=1449

56 Porque ejecuta call() 56 6001000000000000 0000000000000000.......................FFFF 0000000000000000 90,B3,42,00 File 0018FE14 0018FF1c 0018FF70 Programa 00000000... 0042B390 00000000... 0042B390 Void call() overflow (SEH) Memoria El programa no llama la función “call()” pero se ejecuta la función

57 Ataque de día cero (Zero day) Un ataque contra una computadora, basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. 57 Creación de Malware generación de Parches aplicación de Parches Se espera la protección de EMET Ataque de día cero

58 Ataque de día cero (Zero day) Un ataque contra una computadora, basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. 58 Creación de Malware generación de Parches aplicación de Parches Inspección de ataque desconocido (AV) Ataque de día cero

59 Efecto de EMET 59 Resultado de prueba EMET 2.1 http://blogs.technet.com/b/jpsecurity/archive/2013/06/18/3579541.aspx

60 ¿Ocurrió incidente en el ejercicio? 60

61 ¿Ocurrió incidente en el ejercicio? Suspendió la ejecución por la intervención de SEHOP Sí, es un incidente Hay que reconocer los incidentes Hay que reportar los incidentes 61

62 EPM (Enhanced Protected Mode) IE10 and IE11 Defensa en profundidad (capas) Bloquea los elementos del sistema que el navegador normalmente no necesita utilizar – modificar la configuración 62

63 Meritos y Demeritos de EPM Merito – Ayuda contra Ataque de día cero – Evitar que los atacantes instalen software o modificar la configuración del sistema cuando tratan de ejecutar el código de explotación Demerito – no son compatibles con add-ons (Adobe Flash,etc) 63

64 Flujo de Lineamientos y Monitoreos 64 Analizar las amenazas Selección de medidas Lineamientos contra día cero -Actualización de AV -Instalación de aplicaciones (EMET, DEP, etc) Lineamientos contra día cero -Actualización de AV -Instalación de aplicaciones (EMET, DEP, etc) Reportar Analizar Sí No Suspensión de aplicaciones Monitoreos por usuarios

65 Resumen Virus vs AV – Ninguno gana definitivamente Instalación y actualización de AV es indispensable Pero no puede contar toda la confianza con AV Siempre debe estar atento de las tácticas de malware La mayoría de las amenazas viene de virus 65

66 3. Alteración de página Web Número 3 de las mayores 10 amenazas

67 ¿Qué alteran? Fuente de página Web –.html –.jsp –.php –.js –.json –.tpl –.htaccess 67

68 Alteración de página Web 68 Dirigida al sitio malicioso de forma invisible

69 Cuál está falsificada hola1.html hola2.html 192.168.168.82/hola1.html192.168.168.82/hola2.html 69

70 Cuál está falsificada hola1.html hola2.html 70

71 Ejemplo de código malicioso document.write( unescape( ‘%73%6F%79%20%63%6F%64%69%67%6F% 20%6D%61%6C%69%63%69%6F%73%6F ′ ) ); Enmascaramiento del sitio malicioso 71 Código URL se usa en Internet para escribir los identificadores de nombres (URN) y ubicaciones (URL)

72 Como código de color 72 http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140110-OYT8T00870.html

73 Cómo monitorear 73 Qué monitorearObjetos Ejemplos Verificar el fuente de código Fecha, tamaño de archivoDecodificar URL encoding Chequear los fuentesControl de versión Monitorear logFTP SSHtail /var/log/secure | grep ssh tail -f /var/log/auth.log

74 Cómo decodificar código URL http://www.convertstring.com/es/EncodeDec ode/UrlDecode 74

75 Cómo verificar el fuente 75 Ejemplo de control de versión de fuente de programación Versión anteriorVersión actual

76 Cambiaron estrategia 2010- La página no está violada... – No hay iFrame – No hay JavaScript Cambiaron la forma de redirección via: – “.htaccess” de Apache – Windows no permite un archivo “.htaccess” 76 Ya no hay puntito....

77 77 Cambiaron la forma de redirección # HostRule RewriteEngine On RewriteCond %{HTTP_REFERER}.*google.*$ [NC,OR] RewriteRule ^(.*)$ http://sitio.myhacker.com/ [R=301,L] ErrorDocument 401 http://sitio.myhacker.com / ErrorDocument 403 http://sitio.myhacker.com / ErrorDocument 404 sitio.myhacker.com/ ErrorDocument 500 http://sitio.myhacker.com / # /HostRule http://www.atmarkit.co.jp/ait/articles/1308/05/news002_2.html [.htaccess de Apache]

78 78 Cambiaron la forma de redirección # HostRule RewriteEngine On RewriteCond %{HTTP_REFERER}.*google.*$ [NC,OR] RewriteRule ^(.*)$ http://sitio.myhacker.com/ [R=301,L] ErrorDocument 401 http://sitio.myhacker.com / ErrorDocument 403 http://sitio.myhacker.com / ErrorDocument 404 sitio.myhacker.com/ ErrorDocument 500 http://sitio.myhacker.com / # /HostRule Cuando hay error, redirige al lugar especificado. El administrador de seguridad no puede reproducir la incidencia sin error. [.htaccess de Apache]

79 No se puede monitorear con fuente Se altera la página sólo cuando se cumplen las condiciones: – Cuando hay error de página – Un admnistrador no se da cuenta 79

80 Cómo monitorear 80 Qué monitorearObjeto Verificar el fuente de código Fecha, tamaño de archivo Chequear los fuentes Monitorear logFTP SSHtail /var/log/secure | grep ssh Monitorear archivo de configuración de servidor.htaccessMonitorear si.htaccess es insertado Log si hay acceso sospechoso a.htaccess por FTP o SSH tail /var/log/secure | grep ssh tail -f /var/log/auth.log

81 Hay rastro en FTP log Verificar FTP log – Archivo “.htaccess” está descargado? [ejemplo] 81 http://www.atmarkit.co.jp/ait/articles/1308/05/news002_2.html http://www.lac.co.jp/security/alert/2010/03/gumblar-2.html FTP Jan dd hh:mm:ss 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c Cómo monitorear

82 Verificar SSH log – Login sospechoso? tail /var/log/messages | grep ssh (Fedora) tail /var/log/auth.log | grep ssh (Ubuntu) 82 Cómo monitorear

83 Ejercicio2: Alteración Web 1.Instalar WinSCP para SSH 2.Acceder al servidor desde el navegador (WiFI) 3.Poner un URL de error, por ejemplo 4.Crear un archivo “a.htaccess” y agregar : 83 192.168.168.83/snr 192.168. 168.83/snr/aaa ErrorDocument 404 http://jds21.com/

84 Ejercicio2: Alteración Web 4.Acceder a 192.168.168.83 por SSH (con WinSCP) Adivinen cuál es ID y contraseña 5.Cargar el archivo a.htaccess al; 6. Cambiar el nombre del archivo a 7. Comprobar desde el navegador con URL que no existe 8. Chequear el log de SSH 84.htaccess /var/www/snr tail -f /var/log/auth.log

85 SSH por primera vez 85

86 Lineamientos y monitoreos a establecer ¿En el ejercicio anterior, qué nuevas medidas debería establecer como lineamientos para proteger de los ocurridos? 1) 2) 3) 4) 5) 86

87 Lineamientos/Monitoreos a establecer ¿En el ejercicio anterior, qué nuevas medidas debería establecer como lineamientos para proteger de los ocurridos? 1) No usar autenticación SSH con contraseña sino implementar encriptación de clave pública http://blog.jorgeivanmeza.com/2010/09/autenticacion- basada-en-llaves-para-ssh/ 2) Monitorear el directorio del programas si hay archivos agregados, o modificados 3) Monitorear el log de SSH 4) Comprobar página Web llamando con error 87

88 Un día, Qué es q.php? http://www.atmarkit.co.jp/ait/articles/1308/05/news002_2.html 88

89 Todo está bien, entonces??? iFrame JavaScript sospechoso.htaccess Entonces ??? 89

90 Cambió de estratégia Marzo, 2013 Darkleech Apache Module – (ELF_CHAPRO) ELF （ Executable and Linkable Format ） Diseñado para insertar códigos maliciosos para clientes con condiciones específicas 40,000 casos han sido ya atacados 90 http://yoji_pagina.cat http://yoji_pagina.cat

91 Nombre de archivo insertado 91 mod_ balance_alias.so bench_cache.so bulid_charset.so cgiz_config.so chart_env.so get_expires.so load_filter.so local_headers.so pool_log.so preg_mem.so sec2_mime.so spm_proxy.so string_version.so uni_- vies_- ejemplo; mod_spm_headers.so http://www.atmarkit.co.jp/ait/articles/1308/05/news002_3.html

92 Altera la configuración Los módulos deben de estar especificado en el archivo de configuración del servidor - httpd.conf - extra/httpd-includes.conf - apache2.conf (Ubuntu) 92 LoadModule spm_headers_module modules/mod_spm_headers.so [httpd.conf]

93 Dónde colocan módulos Directorio de módulos de Apache – /usr/lib/httpd/modules – /usr/lib64/httpd/modules – /usr/lib/apache2/modules （ Ubuntu) 93

94 Cómo monitorear 94 Item para monitorearObjetoEjemplos Verificar el fuente de código Fecha, tamaño de archivo Chequear los fuentes Monitorear logFTP SSH Monitorear archivo de configuración de servidor.htaccessMonitorear si.htaccess es insertado Log si hay acceso sospechoso a.htaccess por FTP o SSH Monitorear archivo de configuración del servidor httpd.conf apache2/default Monitorear directorios de módulos /usr/lib/httpd/modules /usr/lib64/httpd/modules /usr/lib/apache2/modules

95 Ejemplos de Lineamientos LineamientosObjeto Revisar derecho de acceso adecuado VPN, SSH, FTP Actualizar con los parches de seguridad Sistema operativo Aplicaciones Capacitar los usuariosEvitar clic desde páginas dudosas Verificar hacia dónde redireccionan los enlaces En navegador Limitar los usuarios de FTP No usar FTPUsar SFTP, VPN 95

96 Ejemplos de Lineamientos LineamientosObservaciones No usar SSH con contraseña, sino con PKI Segregación de la red Terminal del PC para el uso exclusivo de la operación de los servidores Separar PC del usuario con PC para operación http://www.eset-la.com/centro-amenazas/articulo/drive-by-download-infeccion-web/1792 96

97 4. Ataque DDos (Ataque distribuido de denegación de servicio) Número 10 de las mayores 10 amenazas

98 DDos más grande (marzo de 2013) 98 Tráfico observado en los routers de Cloudfare dirigido contra Spammhaus http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/DNS

99 Medidas contra DDos 1.Proteger contra el ataque DDos y defender cuando se encuentra como victima de DDos 2.Prevenir de ser como escala para atacar otros víctimas – Los atacantes aprovechan la debilidad de su Servidor DNS – Evitar Resolver abierta 99 Envian cantidad de paquetes Escala Víctima

100 1. Medidas contra víctima de DDos Impedir la comunicación característica de DDos con herramienta de red Procedimiento al incidente de DDos – Suspender el servicio – Provisión de servidor de redundancia 100

101 2. Prevenir escala para DNS Evitar una resolución de DNS abierto – Es un servidor de nombres de acceso público que proporciona una resolución de nombres recursiva para las direcciones IP especificadas. – Se ha informado de que un número de resolución de DNS abiertos están siendo explotados a participar en la negación masiva de servicio distribuido (DDoS). 101

102 2. Medidas contra DDos Evitar y Chequear Open Resolver – http://www.openresolver.jp/en/ http://www.openresolver.jp/en/ – http://dns.measurement-factory.com/cgi- bin/openresolvercheck.pl 102

103 Open DNS Resolver Check Site http://www.openresolver.jp/en/ 103

104 5. Transferencia bancaria no autorizada Número 2 y 5 de las mayores 10 amenazas

105 Transferencia bancaria no autorizada $18,520,000 robados (de enero a junio-2014) en caso de Japón 1,254 casos, 9 veces más que el 2013 73 bancos en 2014 (11 bancos en 2013) 105 http://www.asahi.com/articles/ASG932201G93UTIL002.html

106 Autenticación de dos factores 106 Tarjeta de autenticación de banco

107 Autenticación falsa 107

108 Herramientas contra anti-phishing para banco en linea Netmove nProtect Trusteer Rapport – http://www.trusteer.com/?lang=en Securebrain Phishwall – http://www.securebrain.co.jp/eng/web/index.php 108

109 Autenticación de dos factores Oficina de Correo en Japón – PhishWall – Herramienta Token (Generador de contraseñas de una sola vez) Banco UFJ – Trusteer rapport – Un token al mobil SBI (Banco red) – Envia token al mobil 109

110 PhishWall Aparacen señales verdes si es un sitio auténcico 110 https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do

111 Cómo funciona PhishWall Verde (sitio auténtico) Rojo (sitio peligroso) Blanco (sitio no vigilado) 111

112 Cómo funciona Rapport Icon de Rapport 112

113 Cómo funciona Rapport aparecerá un pequeño ícono de Trusteer Rapport junto a la barra de dirección del explorador y cambiará de color para informarle cuando esté funcionando. 113

114 Generador token Genera una clave cada un minuto Gratis Genera contraseña de una sola vez Un token por una cuenta 114

115 Requiere token para transferencia Introducir contraseña de una sola vez 115

116 Ejemplo de Monitoreo 116 Monitoreo Ejemplos Monitorear la historia del uso/login Comprobar la fecha de login anterior Verificar conexiónMarca de comunicación SSL Certificado digital Monitorear el señal de aplicaciones El señal está verde Evitar ventana popup que requiere autenticación Normalmente autenticación no se muestra en ventanilla popup

117 Ejemplo de Lineamientos 117 ItemDetalle Autenticación de dos factores Contraseña enviada por el mail Contraseña generada por token Evitar intrusión de Malware Phishwall Rapport ActualizarOS, aplicación, antivirus OperaciónSeparar PC para correo electrónico y transferencia bancaria Establecer proceso de aprobación por más de un oficial Bajar el límite de cantidad de una transferencia

118 6. Fuga de información Número7: Publicación de información al SNS (facebook, twitter, etc) Número 8: Fuga de información debido a la pérdida o configuración no adecuada

119 ¿De qué manera consigue información? 119 Hardware no aprobado Soborno Mal manejo de datos Envío al correo Uso de credenciales robadas Robo Software no autorizada Malversación de fondos Informe de Verizon_DataBreach 2014

120 120 Abuso de privilegio Hardware no aprobado Soborno Mal manejo de datos Envío al correo Uso de credenciales robadas Robo Software no autorizada ¿De qué manera consigue información? Malversación de fondos Informe de Verizon_DataBreach 2014

121 Susurros del diablo Está usted solo en una sala de banco que se especializa en el análisis de la investigación. En la sala hay computadoras para análisis de fallos de la ATM (Cajero automático). Está aislado de otros departamentos y entrada y salida están estríctamente limitadas. Con una computadora usted puede mirar la base de datos donde se ha decofido el número de identificación personal e información de cuenta bancaria de los clientes reales. Usted que es un experto en mantenimiento y operación de cajero automático, tiene toda la autoridad de crear una tarjeta caché fácilmente con el aparato de prueba. No está nadie. ¿No se oye susurros del diablo? Está usted solo en una sala de banco que se especializa en el análisis de la investigación. En la sala hay computadoras para análisis de fallos de la ATM (Cajero automático). Está aislado de otros departamentos y entrada y salida están estríctamente limitadas. Con una computadora usted puede mirar la base de datos donde se ha decofido el número de identificación personal e información de cuenta bancaria de los clientes reales. Usted que es un experto en mantenimiento y operación de cajero automático, tiene toda la autoridad de crear una tarjeta caché fácilmente con el aparato de prueba. No está nadie. ¿No se oye susurros del diablo? 121

122 Operación normal Companía contratada de mantenimiento Caso de banco de Yokohama Caja automática Encripción Sistema de administración Información encriptada Companía integración de sistema Jefe del departamento mantenimiento. Tiene un PC para decodificar los datos Dispositivo para crear tarjeta Información decodificada 122 Cajero automático

123 Operación normal Companía contratada de mantenimiento Caso de banco de Yokohama Caja automático Encripción Sistema de administración Información encriptada Companía integración de sistema Jefe del departamento mantenimiento. Tiene un PC para decodificar los datos Dispositivo para crear tarjeta Información decodificada 123 Robó USD240,000 desde 48 cuentas bancarias de clientes

124 Lineamientos y monitoreos a establecer ¿En el ejercicio anterior, qué nuevas medidas debería establecer como lineamientos para proteger de los ocurridos? 1) 2) 3) 4) 5) 124

125 Fuga de información de venta Investigación de Cámara de comercio de Tokio, Marzo 2013 Intruso exterior empleado con el fin de robar dinero Quién ??? ejecutivos retirados contratados clientes no se sabe otros jubilados Quién ??? 125

126 Fuga de información de venta empleados actuales por error empleados retirados 126 Intruso exterior empleado con el fin de robar dinero ejecutivos retirados contratados clientes no se sabe otros jubilados Por error: Pérdidas o configuración no adecuada

127 Ejemplo de Lineamientos 127 ItemDetalleObservación Segregación de funciónEvitar concentración de los privilegios a un individuo en particular Otorgar el mínimo derecho La supervisión mutua al menos dos personas Un fraude interno es probable que ocurra en un entorno donde no hay control de la otra Monitoreo periódicoLog de control de acceso Registro de acceso al dispositivos o base de datos encriptados

128 Ejemplo de Lineamientos 128 ItemDetalle Respuesta a Incidente Después la fuga de información se determina en primer lugar Causas de daños específicos Solución para evitar la propagación Determinar el impacto Medidas adicionales Prevenir la repetición Revisión de sanción o pena a partir de entonces Es necesario realizar el mantenimiento del PC que hizo el fraude Conservación de los diversos registros, para permitir el análisis de la manipulación debido a la ciencia forense digital Revisar control de acceso a la información y asignar derecho mínimo para desempeño de trabajo.

129 129 ItemDetalleEjemplos 2Login, uso no autorizadoGestión de contraseña Evitar el uso de la misma contraseña Autenticación de dos factores 4Fuga de información de usuarios a través de servicio web Servidor Web seguro Control de acceso a la red Segregación de red Medidas contra vulnerabilidad 6Instalación de software malicioso en smartphone Instalación de software del sitio seguro Chequear permiso de acceso al instalar software Lineamientos para otras amenazas

130 130 ItemDetalleObservación 7Publicación de información al SNS (facebook, twitter, etc) Capacitación a los empleados Política del uso de SNS 8Fuga de información debido a la pérdida o configuración no adecuada Normas para el uso de computadoras portatiles o medios extraíbles Gestión de control de acceso Encriptación 9Fraude y amenaza por virusCopia de seguridad Medidas contra virus

131 Monitorear señal de infiltración Detección por rastro de antivirus o Gateway Conección hacia destinatario en el listado negro Remitente de correo eléctronico falso Extensión falsa de archivo adjuntado en correo Aumento de conexión bloqueada en Firewall Fallo frequente de resolución dominio en DNS Conección de Internet por medio de IP directo Aumento de archivos ejecutables descargados Frecuente acceso al dominio recien creado Aumento de conexión a la hora de menos trabajadores Destinatario de la conección desde un país o una región que tiene menos relación con el negocio Conección al servicio de Cloud Bajo Alto 131

132 Flujo de Lineamientos y Monitoreos 132 Analizar las amenazas Selección de medidas Formulación y revisión de políticas/lineamientos Reportar Analizar Sí No Incidentes Monitoreos

133 Resumen Conocer las tácticas de los atacantes Identificar las amenazas Conocer las contramedida s contra las amenazas Aplicar las medidas adecuadas en su entidad a la política y lineamientos 133

134 Auto evaluación de IPA Security IPA （ INFORMATION-TECHNOLOGY PROMOTION AGENCY) （ http://www.ipa.go.jp/security/english/benchmar k_system.html http://www.ipa.go.jp/security/english/benchmar k_system.html Una herramienta de autoevaluación para comprobar el nivel de medidas de seguridad de la empresa Responder preguntas sobre perfil de la empresa y 27 artículos de contramedidas de seguridad. 134

135 End 135

136 (2) 供述の信用性吟味は、具体性と合理的な理由の有無である。 × 娘「パパ大好き、なぜって、だってパパだもん」（理由不備） △ 娘「だってパパは おもちゃ買ってくれるし 遊園地連れてってくれるし オイタしてもママに言いつけないから」 （抽象的事実の供述・現在形の供述） ○ 娘「だってパパは このおもちゃ買ってくれたし 昨日、遊園地連れてってくれたし お皿割ってもママに言いつけなかったもん」 （具体的事実の供述・過去形の供述） (3) 以上の総合例 ア 供述の裏付け証拠：おもちゃ、遊園地の半券、割れた皿 イ 裏付けの裏付け：おもちゃ購入のレシート、遊園地のスナップ写 真 136

137 Uso de Tarjeta falsa del banco 137

138 20140101_Soumusho_ 不正アクセス状況.pdf 138

139 20140101_Soumusho_ 不正アクセス状況.pdf 139

140 チェック項目で弱点克服 20140318_ キーマンズネット _ チェック項 目弱点克服.pdf http://www.keyman.or.jp/at/sec/logmanage/3 0006692/ http://www.keyman.or.jp/at/sec/logmanage/3 0006692/ 内部不正防止対策 IPA 140

141 エクスプロイトツールの蔓延と対 策 http://www.keyman.or.jp/at/sec/antivirus/30 005297/ http://www.keyman.or.jp/at/sec/antivirus/30 005297/ 20130122_keymans_ExploitToolkit.pdf 141

142 MS FixIt http://support.microsoft.com/fixit/es http://es.kioskea.net/faq/9318-tutorial-de- microsoft-fix-it un solucionador de problemas automatizado un programa de diagnóstico que permite detectar problemas que pueden comprometer el buen funcionamiento de Windows. – Ej. Windows update 142

143 Definicion Virus ● ウイルス（狭義） 他のプログラムに寄生（感染）することで、悪さを行う悪性プログラムのこと指します。ウイルスのファイルが単独で存在することは ありません。狭義のウイルスのもう一つの特徴は、自己複製し、他のコンピュータにも感染を広げる機能を備えていることです。 ● ワーム ウイルス（狭義）と違い、単独のファイルとして存在しますが、自己増殖して、他のコンピュータに感染を広げる機能は備えています。 2000 年代初頭に、世 界中のネットワークを麻痺させた Code Red 、 Nimda 、 SQL Slammer 、 Sasser などはワームの一種です。 ● ランサムウエア ファイルやシステム全体を暗号化してロックする（使用不能にする）ことで、データを “ 人質 ” にします。マルウエアの作者に “ 身代金 ” を 払うまでは “ 人質を解放 ” しない、つまりデータを復号しないと脅し、金銭などの支払いを促してきます。 ● スケアウエア 「あなたのパソコンにはウイルスが存在します」などと嘘のメッセージを表示して、ユーザーの恐怖心をあおり、偽の対策ソフトのイ ンストールを促します。インストールする際に金銭の決を要求してきたり、インストール後に個人情報を盗みとったりします。 ● アドウエア Web サイト閲覧中などに、繰り返し、広告のポップアップを出したりします。迷惑な広告を出すだけでなく、 PC 内の Web 閲覧履歴など を外部のサーバーに送信するといった、スパイウエア（後述）の機能も備えている場合があります。 ● スパイウエア ユーザーの行動履歴（ Web 閲覧履歴など）、個人情報などを PC 内から探し出し、スパイウエアの作成者などに送信します。後述します が、マーケティング目的で使われるケースもあり、違法性の判断がつきにくいこともあります。 ● バックドア（ RAT ） 攻撃者が侵入するための裏口をバックドアと言いますが、これらのソフトはたいてい、攻撃者の遠隔操作を許す侵入口を保持する役目 を担います。遠隔操作を受 けるバックドア型のウイルスを特に RAT （ Remote Administration/Access Tool ）と呼ぶこともあります。 ● ダウンローダー 攻撃者のサーバーから別のウイルスをダウンロードし、ターゲットのシステムにインストールするプログラムです。インストールされ たウイルスをウイルス対策 製品が検出しても、ダウンローダーは、また別のサーバから別のウイルスをダウンロードして送り込むので、 長期間に渡って潜伏活動が行われます。 143

144 IE 保護モードを使っている？ http://msdn.microsoft.com/ja- jp/library/bb250462 http://msdn.microsoft.com/ja- jp/library/bb250462 http://d.hatena.ne.jp/Kango/20140427/13986 02077 http://d.hatena.ne.jp/Kango/20140427/13986 02077 Operation Clandestine FoxFox CVE-2014-1776 http://www.ipa.go.jp/security/ciadr/vul/2014 0428-ms.html 144

145 フリーツールで行うネットワーク 脆弱性検査 http://www.itmedia.co.jp/enterprise/articles/ 0507/07/news001.html 145

146 不正 SSL 146

147 Monitorear Estandard y procedimiento del uso de dispositivos móbiles Estandard de encriptación Política de BYOD (trae tu propio dispositivo) Capacitación a los usuarios Control de acceso Filtro de paquetes de salida Web 147

148 Truco de silencio Como examinan multitud de archivos, cajas de arena basados ​​en archivos normalmente monitorean archivos durante unos minutos y, a falta de cualquier comportamiento sospechoso, pasar al archivo siguiente. Esperan durante el examen del sandbox añadiendo llamadas prolongados de sleep API, para evitar que cualquier comportamiento sospechoso del malware a lo largo del proceso de seguimiento. 148

149 Evitación de AV en Caso de Shylock Comunicación encriptada Shylock usaba RC4 – Muy solido, y AV no puede leer – Pero se nota el uso RC4 algo sospechoso – Cambió a SSL （ Secure Sockets Layer ） 149

150 WEB APP ATTACKS FINANCIALLY MOTIVATED ATTACKS – This means they target user credentials and simply use the web applications protected with a single factor (password) as the conduit to their goal. The tactics used by attackers are all the usual suspects: a) phishing techniques to either trick the user into supplying credentials or installing malware onto the client system, b) the old stand-by of brute force password guessing, and c) rarer cases of targeting the application through SQL injection or other application- level attacks as a means to retrieve credentials, bypass the authentication, 150

151 WEB APP ATTACKS Controles Recommendados – Single-password fail seek out alternatives to this method of identity verification. – Rethink CMS Joomla!, Drupal, WordPress, etc. set up an automated patch process if an automated patch process isn’t viable, then develop a manual process and stick to it. – Validar input The best way to be sure your web application won’t be exploited is to seek out and fix the vulnerabilities before the attackers do (and they will). if you don’t have access to the source code and/or the developers, be sure to have something in place (e.g., a contract) to fix the problems when they’re found. – Hacer cumplir las directivas de bloqueo such as a slowing down the rate of repeated attempts or temporarily locking accounts with multiple failed attempts, the rate of successful brute force attempts will more than likely dissipate and disappear – Monitorear las conexiones salientes 151

152 Controles recomendados Identificar donde esta su dato, quien teine acceso, and who has access to it? Revisar cuenta usuario – implement a process to review account activity when those employees give notice or have been released? Vigilar exfiltracion de datos. (Watch for data exfiltration?) – Vigilar la transferencia de datos Many data loss prevention products cover the most common actions taken to steal sensitive information, and these are certainly worth exploring. Publicar resultado de auditoria (Publish audit results) – Let employees know that there are consequences and that the policies are being enforced. This can act as a powerful deterrent to bad behavior. 152

153 SHODAN http://www.shodanhq.com/search?q=admin+1234 Shodan es una especie de buscador que detecta servidores, routers y todo aquello que se conecta y forma Internet. 153

154 1. Inspección de ataque conocida 1.1 Basado en firmas – Patrón de cadenas que pueda identificar ataques – Parte de fuente de programa característico 1.2 Servicio de reputación – Examina la reputación de seguridad del destinatario Web y bloquea según el peligro (ejemplo de alerta) “Estos sitios son de alto riesgo. Existe una probabilidad alta de que el usuario se exponga a enlaces o cargas maliciosos.” 154