Professional Documents
Culture Documents
estrategia de negocio
Comercio
electrnico
Spampot II
Gobierno de
ciberseguridad
Seguridad
en nube
Polticas de
seguridad
UNAM - CERT
27
Ghost II 1
Contenido
Consejos para desarrolladores web con enfoque a
comercio electrnico
4
10
Gobierno de la ciberseguridad?
16
20
23
27
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Coordinacin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R., revista especializada en temas de seguridad del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos
aqu expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
UNAM - CERT
Editorial
Seguridad como estrategia
de negocio
En el ltimo ao se ha detectado un aumento de
amenazas dirigidas a organizaciones pblicas y
privadas. Los ciberdelincuentes buscan un eslabn
dbil, ya sea una persona o un punto vulnerable
en los procesos de las organizaciones para obtener beneficios de distinta ndole pidiendo rescate
por informacin, hacindose pasar por directivos
para engaar a usuarios o realizar chantajes.
A pesar de la problemtica, investigaciones realizadas por firmas de seguridad, dependencias
gubernamentales y grupos universitarios indican
que estos organismos no velan lo suficiente por su
seguridad al no considerarla un rea de importancia fundamental, inclusive descartndola como una
inversin o estrategia de negocios.
La carencia o la mala elaboracin de las polticas,
as como la deficiente aplicacin para el uso de
herramientas TI, son slo algunas de las preocupaciones reflejadas en los artculos que conforman
esta edicin.
Consideramos que la estructura de una organizacin debe estar comprometida en la generacin, comprensin y ejecucin de mecanismos y
polticas internas claras para que se asegure la
realizacin de buenas prcticas y as garantizar la
seguridad.
Los autores en este nmero abordan la elaboracin de polticas de seguridad y brindan recomendaciones para el uso de herramientas TI. Tambin
continuamos con temas presentados en el nmero
anterior, como la implementacin de un spampot
y la configuracin de un laboratorio virtual para
analizar malware.
Esperamos que disfrutes este nmero de Revista
.Seguridad.
.Seguridad Cultura de prevencin para TI, revista bimestral, septiembre-octubre 2016 / Certificado de Reserva (en trmite), Certificado
de Licitud de Ttulo (en trmite), Certificado de Licitud de Contenido
(en trmite), Nmero ISSN (en trmite), Registro de Marca 1298292 |
1298293 / Universidad Nacional Autnoma de Mxico, Circuito Exterior s/n edificio de la Direccin General de Cmputo y de Tecnologas
de Informacin y Comunicacin, Coordinacin de Seguridad de la
Informacin, Cd. Universitaria, Coyoacn Ciudad de Mxico, Mxico,
C.P. 04510, Telfono: 56228169
UNAM - CERT
La gobernanza de TI
Introduccin
Actualmente no slo hay ms dispositivos
conectados a Internet, tambin confiamos ms
en ellos y hacemos todo a travs de la red.
UNAM - CERT
El comercio en lnea est creciendo de manera importante, tan slo en Mxico el comercio
electrnico creci 34% en 2014 (AMIPCI,
2015). Debido a esta tendencia, una tienda
de ropa, juguetes, alimentos o prcticamente
lo que sea, si no est ya ofreciendo sus productos en lnea, muy pronto buscar entrar al
mundo del comercio electrnico.
Consejos
Estos consejos pueden ser ledos como
simples comentarios de situaciones generales
a los que se puede enfrentar un desarrollador
web con un proyecto de tienda en lnea.
Sobre el uso de HTTPS y la inyeccin de
cdigo
Utilizar HTTPS es un requisito indispensable para un comercio en lnea pero no ofrece
defensa para la mayora de los ataques cibernticos. El desarrollador debe estar consciente de las ltimas tendencias en ataques
y estrategias de defensa para sus sitios web.
UNAM - CERT
UNAM - CERT
UNAM - CERT
Conclusin
La decisin de ofrecer productos por Internet
es un paso importante para una empresa en
crecimiento y va de acuerdo con las tendencias del mercado global. Debe pensarse bien
cules son los requerimientos y el objetivo de
contar con una tienda en lnea, para elegir el
servicio que pondr en marcha la tienda en
lnea.
La responsabilidad de las empresas de tecnologa y equipos de desarrollo para cubrir
esta necesidad es cuidar la informacin de
sus clientes. Por ello es conveniente tomar en
cuenta las recomendaciones mnimas para
proteger la informacin durante todo el ciclo
de desarrollo y mantenimiento de este tipo de
sistemas.
Referencias
[1] Pero puede consultar fuentes como The Dangers of
Pirate Plugins and Themes (2014) o How To Tell If Your
WordPress Theme Is Legal (And Why You Should Care)
(2014).
Aliysa. (2014, November 27). The Dangers of Pirate
Plugins and Themes. Tsohost. Recuperado de
https://www.tsohost.com/blog/the-dangers-of-pirate-plugins-and-themes
AMIPCI. (2015). Estudio de Comercio Electrnico.
AMIPCI (Asociacin Mexicana de Internet). Recuperado
de https://www.amipci.org.mx/estudios/comercio_electronico/Estudio_de_Comercio_Electronico_AMIPCI_2015_version_publica.pdf
Coordinacin de Seguridad de la Informacin/UNAMCERT. (2014). Recomendaciones de seguridad para
WordPress. Seguridad de la Informacin. Recuperado
de http://www.seguridad.unam.mx/documento/?id=1927
Daz, S. (2013, 5 de marzo). Firewall de Aplicacin Web
- Parte I. Revista. Seguridad Cultura de Prevencin para
TI, 16. Recuperado de http://revista.seguridad.unam.mx/
numero-16/firewall-de-aplicaci%C3%B3n-web-parte-i
Espinosa, C. y Valds, M. (2009, 9 de agosto). Tips para
Evitar Fraudes en Lnea. Revista .Seguridad Cultura de
Prevencin para TI, 02. Recuperado de http://revista.
seguridad.unam.mx/numero-02/tips-para-evitar-fraudes-en-l%C3%ADnea
Hughes, M. (2014, May 20). How To Tell If Your Word
Press Theme Is Legal (And Why You Should Care).
MakeUseOf. Recuperado de http://www.makeuseof.
com/tag/tell-wordpress-theme-legal-care/
OWASP. (2010). Top 10 2010. OWASP. Recuperado de
https://www.owasp.org/index.php/Top_10_2010
. (2013). Top 10 2013. OWASP. Recuperado de
https://www.owasp.org/index.php/Top_10_2013
Ramrez, D. y Espinosa, C. (2011, 5 de marzo). El
Cifrado Web (SSL/TLS). Revista .Seguridad Cultura de
Prevencin para TI, 10. Recuperado de http://revista.
seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
UNCTAD. (2015). Informe sobre la economa de la
informacin. United Nations Conference on Trade and
Development (UNCTAD). Recuperado de http://unctad.
org/es/PublicationsLibrary/ier2015_es.pdf
Wikipedia. (2016). Sistema de gestin de contenidos.
Wikipedia, la enciclopedia libre. Recuperado de https://
es.wikipedia.org/w/index.php?title=Sistema_de_gesti%C3%B3n_de_contenidos&oldid=90567306
UNAM - CERT
posiblemente una cuota adicional por transaccin (un porcentaje de cada venta). Por otro
lado, servicios como estos no permiten acceder al sistema operativo o a las caractersticas
internas de la arquitectura.
UNAM - CERT
Funcionamiento y estructura
La herramienta fue desarrollada para interactuar con equipos que enven correo malicioso
en Internet por medio de una arquitectura
cliente-servidor, es decir, los clientes (remitentes de correo malicioso) se conectan al
servidor (spampot) por medio de un socket,
el cual se encuentra a la espera de nuevas
conexiones en el puerto 25 (reservado para
SMTP). Por cada conexin de un cliente, el
servidor crea un hilo para atender dicha peti-
UNAM - CERT
10
UNAM - CERT
11
Ejecucin de la herramienta
Para ejecutar la herramienta, todos los mdulos de CPAN deben estar correctamente instalados y la base de datos configurada apropiadamente. La configuracin de la base de datos
se debe hacer directamente en el servidor de
base de datos y consiste en crear una base
de datos denominada spampot y un usuario
llamado spampot, el cual deber tener todos
los privilegios sobre la base de datos spampot.
Todos los comandos de configuracin de la
base de datos se muestran en la Figura 3.
UNAM - CERT
12
En la ejecucin mostrada en la seccin anterior se observa una salida con la opcin Debug
habilitada con el valor 1, por lo que se identifican en pantalla varios mensajes que estn clasificados en cinco cdigos de color, los cuales
corresponden a:
UNAM - CERT
Comando de ejecucin
Mensajes de ejecucin de la herramienta
Mensajes relacionado con la base de
datos
Mensajes de correo electrnico recibido
Mensajes de anlisis del correo electrnico recibido
13
Conclusiones
Con el desarrollo y la implementacin de esta
herramienta se logr una gran visibilidad en la
red para detectar nuevas amenazas y ataques
debidos a la recepcin masiva de correo electrnico no deseado en una red corporativa.
Adems, en conjunto con el anlisis de patrones, se pudieron determinar las direcciones de
correo electrnico, direcciones IP y nombres
de dominio ms utilizados dentro de estos ataques. Finalmente con el anlisis del contenido
de los archivos adjuntos y de las URL contenidos en el cuerpo del correo electrnico, se
lograron detectar sitios con contenido malicioso, informacin fraudulenta o redirecciones a
otros sitios maliciosos.
Debido a la forma en cmo se almacena la
informacin dentro de la base de datos, se
puede obtener un histrico de la actividad
recolectada y clasificarla por da, mes y ao.
Gracias a estos histricos la informacin de
los ataques recibidos es ms fcil de revisar,
entender y de comprender.
UNAM - CERT
Resultados
las direcciones IP no asignadas de la red corporativa, por lo que todo ese trfico originado
por otras aplicaciones o usuarios en Internet
se considera potencialmente malicioso. Bajo
este esquema se reciben mltiples peticiones
de diferentes aplicaciones por lo que, con este
entorno, tambin se verifica la capacidad de
respuesta de la herramienta ante grandes cantidades de trfico.
14
[1] Virus Total es un sitio en Internet que permite analizar archivos, obtener el MD5 del archivo y compararlo
con una lista de antivirus comerciales para as saber si
el antivirus detecta la pieza maliciosa. Tambin permite
buscar directamente una cadena MD5 o una URL y realizar el mismo anlisis que con un archivo malicioso.
UNAM - CERT
Referencias
15
Gobierno de la ciberseguridad?
Rosa Xchitl Sarabia Bautista
UNAM - CERT
apropiadas para mitigar los riesgos y reducir el posible impacto que tendran en los
activos de informacin.
3. Entrega de valor: Optimizar las inversiones
en la seguridad.
4. Administracin de recursos: Utilizar el
conocimiento y la infraestructura de la
seguridad de la informacin con eficiencia
y eficacia.
5. Medicin del desempeo: Monitorear y
reportar mtricas de seguridad de la informacin para garantizar que se alcancen los
objetivos.
Para lograr un gobierno eficaz, la alta direccin debe establecer un marco que gue el
desarrollo y mantenimiento de un programa
integral de seguridad como el que se muestra
a continuacin:
UNAM - CERT
Buenas prcticas:
17
de la informacin.
Desarrollar e implementar procedimientos
de respuesta a incidentes.
Establecer planes, procedimientos y pruebas para proporcionar continuidad de las
operaciones.
Utilizar las mejores prcticas como ISO
27001, NIST SP 800, CoBIT, entre otros.
Referencias
UNAM - CERT
Conclusiones
18
UNAM - CERT
19
UNAM - CERT
20
UNAM - CERT
21
Conclusiones
La nube no es una panacea, pero s es una
gran respuesta y puede representar la solucin
a mltiples escenarios de STI, sin embargo,
si no se realiza bajo esquemas de seguridad
adecuados es muy probable que se convierta
en una pesadilla, y por ende se pierda informacin y/o reputacin de la IES.
Es de suma importancia que el proveedor con
que trabajemos cuente con estndares altos
de seguridad y privacidad, ya que, al estar
ocupando sus servicios, estaremos depositando la confianza de la IES en su infraestructura.
No se debe temer a la nube, pero s debemos
contar con todos los requisitos de gestin de
las TIC y la seguridad de la informacin, es
decir, encaminar las buenas prcticas y personal capacitado de la IES, para poder alcanzar
el objetivo planteado, o como diran en Los
Tres Mosqueteros todos para uno y uno para
todos.
Referencias
Lpez, M.C.; Flores, K. (2010, octubre). Las TIC en la
Educacin Superior de Mxico. Polticas y acciones. Repositorio Digital Universitario de Materiales Didcticos.
Recuperado de http://reposital.cuaed.unam.mx:8080/jspui/bitstream/123456789/1507/1/Las%20TIC%20en%20
la%20educacin%20superior%20de%20Mxico.doc
UNAM - CERT
22
Polticas de seguridad
informtica para las
necesidades del usuario actual
Los equipos que alguna vez fueron mquinas
superpotentes con millones de ciclos por minuto, ahora son sustituidos por pequeas mquinas con 1/16 de su tamao original, con la
capacidad de ser porttiles e incluso de cuidar
la salud del ser humano. As tambin, Internet
est marcando una tendencia hacia el cambio
ubicuo que en la actualidad llamamos el Internet de las Cosas.
UNAM - CERT
23
UNAM - CERT
24
UNAM - CERT
25
UNAM - CERT
26
En esta seccin se mostrar el funcionamiento del honeypot Ghost al infectar una de las
mquinas de nuestro laboratorio con algunas
muestras de malware que se propagan a travs de dispositivos de almacenamiento extrables.
UNAM - CERT
27
UNAM - CERT
Quitar la seleccin Usar este programa en Windows Defender para evitar que detecte las
muestras que se manejen en el laboratorio:
28
En Windows 7 deshabilitar la caracterstica del Control de Cuentas de Usuario (UAC) para permitirles mayor libertad al malware de interactuar con el sistema, as como a las herramientas de
monitoreo que requieren permisos de administrador para funcionar correctamente, como en el
caso de Ghost.
UNAM - CERT
ghosttool mount 0
29
Nota: La creacin de carpetas y archivos en la imagen gd0.img (que montamos con el identificador 0) son cambios que quedan guardados, por lo que en una infeccin por malware se puede
realizar una copia de dicha imagen y enviarse a otro equipo donde se pueda analizar la evidencia con mayor detalle.
UNAM - CERT
ghosttool umount 0
30
UNAM - CERT
31
UNAM - CERT
32
En el archivo autorun.inf la entrada shellexecute se utiliza en lugar de open cuando se requiere iniciar un archivo que no es ejecutable. Los archivos ejecutables son rplicas de la muestra
original.
El acceso directo est diseado para abrir el archivo al que apunta y adems ejecutar el software malicioso en el dispositivo USB. El archivo ejecutable es una rplica de la muestra original.
UNAM - CERT
Una vez infectado el sistema, se crean en la raz de la unidad emulada accesos directos a las
carpetas y archivos que el malware configur como ocultos para forzar al usuario a darles doble
clic.
33
En este caso, el software malicioso nicamente cambia los atributos de los archivos y no de las
carpetas. El cdigo en Visual Basic Script se trata de una rplica de la muestra original.
Nombre de la funcin
de inicio
tJnHlBf9d3X1Jnnn
t07FMUbiqx5CJHve
5CJKSZghpw3BIMQQ
iOeK06mS8oUaqwc
UNAM - CERT
A continuacin, se listan algunas piezas de malware identificadas recientemente que se propagan a travs de dispositivos USB:
34
Con la informacin mostrada en estos dos artculos pudimos darnos cuenta de lo importante
que es la recoleccin de evidencia generada por el software malicioso que se propaga a travs de dispositivos USB, ya que es posible identificar caractersticas sobre nuevos vectores de
infeccin, propagacin y mtodos de evasin de antivirus para que las soluciones de seguridad
tomen cartas en el asunto y puedan proteger a sus usuarios de las amenazas ms recientes.
Adems, no debemos tomar a la ligera este tipo de propagacin de malware, ya que contina
siendo muy utilizado para distribuir amenazas como Cryptolocker y USB Thief que pueden provocar un impacto significativo tanto en equipos de usuarios caseros como en grandes empresas.
UNAM - CERT
35
UNAM - CERT
36
UNAM - CERT
37