Amenazas y Vulnerabilidades Emergentes

Agenda
INTRODUCCIÓN
Evolución.


Curiosidades.


AMENAZAS Y VULNERABILIDADES EMERGENTES

Código Malicioso (Malware)


Redes Robot.


Tabnabbing: Novedoso tipo de Phishing



VENCERT
Objetivos


Servicios prestados


Logros, Estadísticas y Proyectos



TENDENCIAS / PREDICCIONES
¿A qué nos enfrentamos?


¿Qué hacer?

INTRODUCCIÓN > Evolución


INTERNET tiene más de 40 años. Desde el 21 de noviembre de 1969
cuando se conectaron algunas universidades de Estados Unidos


Comenzó a masificarse el acceso a partir del año 1994, es decir, hace
apenas dieciséis años.
INTRODUCCIÓN > Evolución

Usuarios de Internet estimados para Junio de 2010: 1.966.514.816

INTRODUCCIÓN > Evolución

Vulnerabilidades de Software
Últimos Cinco (5) Años

Año Nro de Vulnerabilidades

2005 4,932
2006 6,608
2007 6,514
2008 5,632
2009 5,733
2010 4,097 (Noviembre)

Fuente: Common Vulnerabilities and Exposures (CVE)

INTRODUCCIÓN > Curiosidades

“En Internet nadie sabe que eres un perro..!!”

AMENAZAS Y VULNERABILIDADES EMERGENTES > Código Malicioso


Hasta hace muy poco (2006), la principal amenaza estaba orientada a la
propagación de Malware (Virus, Troyanos, Gusanos) a sus sistemas.
AMENAZAS Y VULNERABILIDADES EMERGENTES > Código Malicioso
Teléfonos Inteligentes (Smartphone)

•
Sin embargo, el cambio de tendencia es significativo, y provoca
una percepción de “menores ataques”:
•
Motivación
•
Focalización
•
Complejidad
•
Sigilo
AMENAZAS Y VULNERABILIDADES EMERGENTES > Código Malicioso
Teléfonos Inteligentes (Smartphone)
AMENAZAS Y VULNERABILIDADES EMERGENTES > Código Malicioso
Nuevas Tendencias
AMENAZAS Y VULNERABILIDADES EMERGENTES > Redes Robot

BOTNET MARIPOSA

Detectada en mayo del año pasado.

12.7 millones de computadores infectados alrededor del mundo.

Propagación muy efectiva a través de redes P2P, dispositivos
USB, y enlaces MSN.

Oferta de Kits para el cibercrimen con la Botnet Mariposa mediante
el portal web VXER (actualmente deshabilitado).
AMENAZAS Y VULNERABILIDADES EMERGENTES > Redes Robot

BOTNET ZEUS

Millones de computadores infectadas alrededor del mundo.

Capaz de obtener datos de inicio de sesión en línea, de cuentas de correo
y de redes sociales.

Utiliza un algoritmo de generación de dominio.
AMENAZAS Y VULNERABILIDADES EMERGENTES > Tabnabbing
Novedoso Tipo de Phishing

Phishing a través de las ventanas del navegador.

El TabNabbing se aprovecha del hábito de tener varias pestañas abiertas
a la vez en el navegador.

La idea es simple: cuando el usuario no está mirando la pestaña del
navegador web, cambia su aspecto para que parezca otra.
VenCERT > Sistema Nacional de Gestión de Incidentes Telemáticos


Proyecto financiado por el Fondo de Investigación
y Desarrollo de las Telecomunicaciones.


Su creación responde a la necesidad estratégica de dotar al Estado de los
mecanismos más adecuados para prevenir y actuar con efectividad ante los
nuevos riesgos generados por el desarrollo de las nuevas tecnologías.

Su principal objetivo, como CERT gubernamental es la prevención, detección y
gestión de los incidentes generados en los sistemas de información de la
Administración Pública Nacional y los Entes Públicos a cargo de la gestión de
Infraestructuras Críticas de la Nación.
VenCERT > Sistema Nacional de Gestión de Incidentes Telemáticos

Gobierno Electrónico Ataques

Ciudadanos
Vulnerabilidades
Incidentes

Asignación de recursos
con el fin de prevenir,
detectar y corregir
incidentes que afecten
la seguridad de losactivos
de información de la
institución
manera proactiva o
reactiva.
VenCERT > Marco Legal - Objetivo

La implantación del VenCert se expresa mediante Gaceta oficial de la

República Bolivariana de Venezuela N° 39.056, de fecha 11 de noviembre
de 2008, resolución N° 063 del Ministerio del Poder Popular para las
Telecomunicaciones e Informática, quien resuelve:
Articulo 1
“Encargar a la Superintendencia de Servicios de Certificación Electrónica
(SUSCERTE); el desarrollo, implantación, ejecución y seguimiento del
Sistema Nacional de Gestión de Incidentes Telemáticos (VenCert)”.
Articulo 2
“El Sistema Nacional de Gestión de Incidentes Telemáticos (VenCert), tiene
como objetivo prevenir, detectar y gestionar los incidentes generados en los
sistemas de información del Estado y en las infraestructuras críticas de la
Nación a través del manejo de vulnerabilidades e incidentes de Seguridad
Informática. Igualmente el Sistema Nacional de Gestión de Incidentes
Telemáticos (VenCert) tendrá capacidad de intervención y respuesta ante
los riesgos que atenten contra la información que manejan los órganos y
entes del Poder Publico Nacional.”
VenCERT > Servicios Prestados

PROACTIVOS REACTIVOS
VenCERT > Servicios Proactivos

Sistema de Alerta Temprana

Centralización y análisis “off-line” de registros de actividad anónimos facilitados
por los miembros de la Comunidad.
Monitoreo de portales Web institucionales de corte gubernamental.
Establecimiento de una red de sensores de manera coordinada con la Comunidad
e implantación de una plataforma para el análisis de la información centralizada
para la detección temprana de incidentes.

Formación / Comunicación
Formación al personal interno y miembros de la Comunidad para incrementar sus
conocimientos en aspectos relativos a Seguridad de la Información
(criptografía, amenazas y vulnerabilidades más comunes, etc.)
Comunicación y promoción de las actividades ofrecidas por el VenCERT a la
Comunidad y también a ciudadanos, entidades privadas, etc.

Publicación de Alertas y Avisos

Personalizado y orientado a las plataformas más extendidas en la Comunidad.
VenCERT > Servicios Proactivos

Observatorio Estadístico
Análisis del estado del arte de la Seguridad y de la situación de la Comunidad, en
cuanto al número de incidentes sufridos, etc.
Elaboración de estadísticas internas y externas, comparativas, etc.
Elaboración de informes, estudios e investigaciones de mercado sobre seguridad
de la información en la comunidad
VenCERT > Servicios Proactivos – Sistemas de Alerta Temprana
VenCERT > Servicios Proactivos – Sistemas de Alerta Temprana

Monitoreo constante de los sitios web de infraestructuras críticas del Estado

y supervisión de contenidos ilegales en diversos sitios web:

48% de páginas de Alcaldías

37% de páginas de entes adscritos a los órganos del Poder Ejecutivo
14% Gobernaciones, Infraestructuras Críticas, Ministerios y embajadas
venezolanas en el resto del mundo

37%
2%
4%
Ministerios
4% Gobernaciones
Infraestructuras Criticas
Entes Adscritos de la
APN
Embajadas de
Venezuela en el Mundo
Alcaldias
4%

48%
 VenCERT > Servicios Reactivos

Manejo de Incidentes
Registro y análisis: captación en nuestra BD, junto con investigación de la
extensión y la prioridad del Incidente
Apoyo a la Respuesta ante Incidentes para:
Determinar las causas del incidente
Punto de contacto con otras entidades involucradas
Realización de informes de incidentes (nacional o internacional)
Asistencia a la elaboración de avisos a los usuarios o los medios de comunicación
Coordinación a la Respuesta (nacional e internacional)
Respuesta ante Incidentes “in situ” según gravedad del incidente y el acuerdo de
nivel de servicio del VenCERT con cada uno de los miembros de la Comunidad

Manejo de Vulnerabilidades
Análisis y respuesta ante Vulnerabilidades (en linea)
 VenCERT > Servicios Reactivos

Laboratorio de Vulnerabilidades
Pruebas sobre distribución de seguridad Backtrack 3 en dispositivos móviles (Live
USB) y Backtrack 4 Beta en equipos Alienware.
Actualización e instalación de paquetes de seguridad adicionales (Framework
para evaluación de vulnerabilidades, Antivirus, entre otras).
Pruebas a herramientas de seguridad: Maltego C.E., Aircrack-NG, Cain & Abel,
Lophtcrack, John the Ripper, Acunetix, entre otras.
Evaluación de la seguridad de redes inalámbricas con Kismet, Aironet y Aircrack-
NG.
VenCERT > Comunidad Atendida
VenCERT > Proceso de adhesión

El proceso de adhesión tiene por objeto:

1. Oficializar la prestación de servicios proactivos y reactivos.

2. Agilizar la operatividad del servicio en caso de presentarse un Incidente

Telemático.

3. Prestar Asesoría Personalizada a los entes adheridos.

4. Prestar apoyo en materia de seguridad de información para el

fortalecimiento de la plataforma tecnológica
VenCERT > Logros

Apoyo en Monitoreo de Seguridad

1800

1600

1400

1200

1000

1609
800

1204
600

400

200
102
0
2008 2009 2010
VenCERT > Logros – Cooperación

Sistemas de Alertas
•
Capacitación del personal
•
Creación de herramientas para la
detección y gestión de incidentes
telemáticos.
•
Mejoras en las técnicas de análisis de
evidencias.
•
Capacitaciones Dictadas:
•
6 talleres nacionales de Seguridad de
Información y Gestión de Incidentes
Telemáticos
•
Diplomado en Defensa y Delitos
Informáticos
•
Elaboración de mas de 50 boletines de
seguridad
 VenCERT > Estadísticas (Incidentes atendidos 2008 al 2010)

47,4%
Redes Robots Divulgación de
(Botnets) Información
Desfiguración de Fortalecimiento de
Sitios Web Plataforma
(Defacement)
0,2% Correo Basura Denegación de
0,2% (SPAM) servicio (DoS)
Código Malicioso Error de
0,3%
(Malware) Configuración
0,3% Estafas Cross Site
0,3% Electrónicas Scripting (XSS)
(Phishing)
0,7% Publicación Ilegal Pérdida de
17,5% 2,7%
0,9% de Contenido Información
3,1% Disponibilidad de Espionaje
2,0% 1,4%
6,3% Servicios Informático
9,7% 7,0% Acceso NO Inyección de
Autorizado código SQL
VenCERT > Estadísticas - Botnet (IP Nacionales)

Reporte de Botnet
Semana del 15 al 19 Noviembre 2010
14000

12452 12230 12193

12000 11499

9801
10000

8000

6000

4000

2000

0
Lunes Martes Miercoles Jueves Viernes
VenCERT > Proyectos - Red de Sensores
VenCERT > Proyectos - AlbaCERT

PAISES DEL ALBA:

Venezuela
Cuba
Bolivia
Nicaragua
Dominica
Ecuador
San Vicente y las
Granadinas
Antigua y Barbuda
* Honduras
TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?
Crimeware
 TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?
Servicios

Sploit 25 (Valor: USD 1500 y USD 2500)

Unique Sploits Pack (Valor: USD 600. )

Neon Exploit System (Valor: USD 500)

ElFiesta Exploit Pack (Valor: USD 1000)

YES Exploit System (Valor: USD 600)

PoisonIvy Polymorphic Online Builder (Valor: USD 500)

FriJoiner Small y Private (Valor: USD 10 ; Versión Private USD 15)

Genom iframer (Valor: USD 40)

CRUM Cryptor Polymorphic (Valor: USD 100)

Fuente: evilfingers.blogspot.com
Septiembre 2010
 TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?

Nivel de Riesgo

Bajo Alto

TLD = Top Level Domain

Fuente: McAfee
TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?

MERCADO INVADIDO POR CATEGORÍAS DE SOFTWARE

“APETECIBLES” PARA CRACKERS
Categoría Software % Estimado Sitio y Origen Popularidad
del Mercado entre Crackers
Paquete de MS Office 80% (n) Julio 2009. Muy Alta
Ofimática Forrester
Sistema MS Windows 89% (I) Dic 2008. Muy Alta
Operativo Marketshare.com
Cliente Web MS IExplorer 64% (I) Julio 2009. Muy Alta
Statcounter
Servidor Web Apache 47% (I) Junio 2009. Alta
Netcraft
Servidor de Oracle 48% (n) Agosto 2009. Alta
BBDD Gartner
Leyenda (n = Negocios, I = Internet)

Fuente: ISACA - Online

TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?

EL MERCADO “AFECTADO” POR

EXPLOITS
Proporción del Mercado

Porcentaje de Exploits de Malware

Fuente: ISACA JOnline
 TENDENCIAS / PREDICCIONES > ¿A qué nos enfrentamos?

72
Win XP 270
329
Web Defacement x S.O.
3165 2008 – 2010
Win 2008 2977
364
132
Win NT9x 225 2010
440
2009
384
MacOSX 510 2008
893
10
SolarisSunOS 16
1629
364
Solaris 9⁄10 7699
3002
1815
Desconocido 3933
4642
5503
FreeBSD 10050
13418
2805
Windows 2000 12529
21929
81785
Windows 2003 127128
117978
256648
Linux 378744
352468

Fuente: Zone-h Junio 2010

TENDENCIAS / PREDICCIONES > ¿Qué hacer?


Establecer un marco de cumplimiento de políticas de seguridad de
información robustas.

Establecer medidas de control proactivo en los ISP.

Establecer un marco regulatorio “estándar” para la región.

Fortalecer los mecanismos de concienciación en el usuario final

Establecer una estrategia de acción regional ante este tipo de amenazas

Fortalecer la articulación a través de mecanismos de cooperación entre los
CSIRT de la región.

Combatir la alta rotación con estrategias de continuidad.

Palabras clave: concienciación, cooperación y cumplimiento
TENDENCIAS / PREDICCIONES > 2011


En 2011 se presume un incremento en los ataques a repositorios de
datos no estructurados, sobre todo servidores de archivos.

Aumento en los ataques a dispositivos móviles: smartphones.

Crecimiento de las organizaciones dedicadas al delito cibernético.

Evolución del malware y crecimiento de las botnets.

Mejoras en los ataques de ingeniería social.

Explotación de vulnerabilidades día cero (continuación...)
La Seguridad de la Información comienza por TI...
GRACIAS POR SU ATENCIÓN...

0800 VENCERT TeamVenCERT

@suscerte y @vencert.

https://www.vencert.gob.ve/
http://www.suscerte.gob.ve/

Información: info@vencert.gob.ve
Reporte: incidentes@vencert.gob.ve