Sesion02 2016 PDF

Sesin 01
Fuentes y riesgos de ataque a la informacin

MTODOS Y MEDIOS DE PROTECCIN DE LA INFORMACIN
ggomez@esan.edu.pe
Gianncarlo Gmez Morales

1 ggomez@esan.edu.pe
Agenda
Tendencias.
Av. Petit Thouars 385
+51 315 9610

01 Tendencias

Mtodos de ataque contra la red: ataques SSL
Los ladrones adoran los puntos ciegos especialmente cuando estos

aparentan ser un trfico de red seguro. El cifrado Secure Socket Layer
(SSL) es el protocolo de cifrado ms usado para proteger la privacidad
de la Web, correo electrnico y las comunicaciones por mensajera
instantnea, haciendo que el SSL sea un dispositivo de ataque
atractivo. Los hackers ocultan cdigos maliciosos en paquetes SSL
para evitar los motores de inspeccin locales y desactivar servidores
Web. En algunos casos, los hackers insertan cdigos en el canal de
comunicacin cifrado entre dos puntos para realizar ataques 'man-in-
the-middle'.
Incluso los ataques simples ganan una nueva vida cuando se
distribuyen en conexiones SSL que no pueden ser inspeccionadas.
Cmo encontrar a los cibrcriminales que se ocultan a plena vista?
Comprendiendo cmo piensan los hackers, es posible mejorar su
postura de seguridad para eliminar los puntos ciegos de SSL y detener
los ataques.

Inspeccin SSL
Dado el predominio de ataques SSL, Intel Security cree que la

inspeccin avanzada SSL debe ser un recurso estndar,
completamente integrado de los sistemas de prevencin de
intrusiones (IPS) y soluciones de firewall para brindar visibilidad local
en el trfico cifrado.
A pesar que la visibilidad del trfico SSL es parte del problema, esa
visibilidad solo es tan buena como la inteligencia de la tecnologa que
la inspecciona. Por eso, la inspeccin SSL debe trabajar en sintona
con motores de inspeccin para brindar la proteccin apropiada
contra amenazas que las organizaciones necesitan. La integracin con
otras tecnologas de inspeccin dentro del mismo dispositivo puede
optimizar y simplificar enormemente la arquitectura de seguridad.
Adems, la solucin debe incluir recursos bidireccionales, permitiendo
la inspeccin del trfico SSL de entrada y de salida.

Inspeccin SSL
La inspeccin SSL de entrada permite que las organizaciones

inspeccionen el trfico HTTPS que llega a los servidores Web. La
visibilidad permite filtrar los patrones de trfico abusivos y los ataques
maliciosos antes que lleguen al servidor Web. El uso de hardware IPS
de alto desempeo mantiene el rendimiento y tasa de procesamiento
del sistema mientras aprovecha otros recursos de inspeccin y de
emulacin de alto nivel para proteger la presencia online de una
organizacin.
La inspeccin bidireccional de trfico SSL en el firewall permite un
anlisis ms profundo. Ya sea consolidado en un dispositivo nico o
agregado en ambientes de cluster de alto desempeo, la inspeccin
SSL brinda visibilidad a feeds de reputacin de archivos globales,
antimalware, y tcnicas de deteccin de amenazas avanzadas. La
inspeccin de entrada y de salida de los firewalls protege clientes y
servidores de ataques SSL. Como los atacantes tambin usan cifrado
SSL para ex filtrar los datos capturados, la inspeccin SSL de salida es
un recurso de seguridad esencial .

Inspeccin SSL
La capacidad de inspeccionar trfico cifrado no debe perjudicar el rendimiento de la red. En varias violaciones recientes, el personal de TI desactiv las
inspecciones SSL o disminuy los niveles de proteccin para tratar problemas intolerables de rendimiento/tasa de transferencia y latencia. Hasta los
hardwares de IPS y firewall ms potentes deben incluir recursos de equilibrio de carga (load balancing) y clustering, integrados firmemente sin la
necesidad de comprar y dar soporte a soluciones de aumento de trfico de terceros.

Mtodos de ataque contra la red: tcnicas evasivas
Los hackers de hoy en da han perfeccionado sus tcnicas. Ellos

utilizan tcnicas evasivas sofisticadas que desafan a la seguridad de TI
como nunca antes, aprovechndose de las debilidades de la
infraestructura. Ya sea confundiendo los dispositivos de la red para
evitar la inspeccin u ocultando su existencia, los responsables de
amenazas avanzadas buscan la innovacin de evasin.
Despus de todo, la mejor forma de derrotar las defensas de
seguridad es no luchar contra ellas. Independiente del mtodo, los
cibercriminales intentan hacerse camino a travs de las fallas, incluso
en las mejores estrategias de seguridad. Los hackers van ms all para
conocer su empresa y entender sus defensas. Entender los mtodos y
tcnicas de ataque de los hackers ofrece informacin valiosa que
pueden ayudarle a evaluar su postura de seguridad

Conociendo las tcnicas evasivas de malware
El arsenal de trucos de malware evasivo y tcnicas de ataque de los

ciberladrones crece da a da. Varias de las tcnicas de ataques
evasivos actuales modifican el malware existente o lo usan de nuevas
maneras para esquivar de firewalls, sandboxes (entornos de
seguridad), gateways, y deteccin de IPS. De hecho, dadas las miles de
formas en que los hackers pueden cambiar las cargas maliciosas,
junto con los cientos de mtodos de entrega potenciales, se estima
que hay ms de 800 millones de combinaciones de evasin viables.
Afortunadamente, las nuevas tecnologas de seguridad estn
cambiando el curso para cerrar las fallas de seguridad y bloquear los
nuevos ataques evasivos.

Aplicando innovacin para detener el comportamiento evasivo
Existen varias tecnologas exclusivas que aclaran y explican las

amenazas invisibles y evasivas. Esas tecnologas realizan el monitoreo
del cdigo y comparten informacin de seguridad en tiempo real con
otros dispositivos de seguridad para evaluar niveles de amenazas a
travs de mltiples vectores y tomar acciones decisivas en respuesta a
un ataque. Estos recursos anti evasin incluyen:
Monitoreo e inspeccin constante de sesiones de la red.
Anlisis de cdigo esttico.
Monitoreo inteligente de callback (retro llamadas) de malware.
Inteligencia de endpoint (terminal).

Evasin de red: anlisis y reensamble de carga (payload)
Utilizando tcnicas de fragmentacin y re ensamblado de carga, los

ladrones pueden evitar la deteccin de la red fragmentando los
paquetes de ataques y montando la distribucin a travs de patrones
difciles de inspeccionar. Ellos entregan las piezas simultneamente, o
en momentos variables, a travs de mltiple protocolos de red o
protocolos raramente utilizados.
Una vez entregados al endpoint, las piezas se reensamblan para
liberar su ataque original sin ser detectadas.
El monitoreo e inspeccin constante de sesiones de la red permite
encontrar y bloquear los patrones complejos de estas tcnicas
evasivas. La combinacin de monitoreo de sesiones de la red y anlisis
de flujo de datos en el firewall permite protegerse mejor contra
tcnicas de evasin conocidas y desconocidas, aun cuando se aplican
en diversos niveles de protocolo.

Evasin de sandbox: ataque con retraso en la ejecucin del cdigo malicioso
Para evitar los sandboxes (entornos de seguridad), los cdigos

maliciosos permanecen silenciosos y ocultan su real naturaleza. Esta
tcnica avanzada de evasin de sandbox a menudo escanea claves de
registro de mquinas virtuales, carpetas de documentos vacas, u
otros procesos estndar que revelan si el entorno es un sandbox o un
endpoint verdadero. Una vez que se detecta la presencia del sandbox,
los atacantes retrasan la ejecucin por un intervalo determinado para
ocultar las caractersticas de malware, permitiendo que pase a travs
del entorno de seguridad.
El anlisis de cdigo esttico es una herramienta de observacin sin
firmas que ilumina los puntos ciegos en el anlisis de cdigo dinmico.
El anlisis de cdigo esttico inspecciona el cdigo de archivo latente
para asegurar que el cdigo inactivo en el sandbox no sea malicioso.
Tambin identifica similitudes estructurales entre el cdigo
latente/oculto y las muestras de malware conocidas. Adems,
cuantifica el porcentaje del cdigo que se ejecuta durante el anlisis
en el sandbox y mapea todas las rutas de ejecucin lgicas de un
archivo complejo
Sandbox
Para frustrar las tcnicas de evasin avanzadas de sandbox se necesita la combinacin de anlisis de cdigo dinmico y anlisis del
cdigo esttico.

Evasin de callback (retro llamadas) de malware
Los botnets de prxima generacin han complicado el asunto cuando se trata

de evadir dispositivos de inspeccin. Uno de los mtodos ms recientes usados
por estos botnets son los algoritmos de generacin de dominio (Domain
Generation Algorithms - DGAs), una tcnica de evasin que crea miles de
conexiones URL de salida para confundir a los dispositivos de seguridad. Esta
tcnica de evasin por transformacin (morphing) puede actualizar los recursos,
asegurando que los DGAs y sus patrones cambien constantemente mientras los
atacantes intentan exfiltrar los datos.
El monitoreo inteligente de callback (retro llamada) permite memorizar y
bloquear los patrones de botnet. Esta tcnica pionera en la industria aplica
monitoreo de algoritmos para realizar ingeniera inversa de los patrones de
conexin URL utilizados para callback de malware. Una vez conocidas, las
prximas iteraciones de URLs aleatorias pueden identificarse fcilmente,
permitiendo el bloqueo de conexiones de salida hacia URLs maliciosas. Tambin
es posible monitorear y bloquear los endpoints adicionales que participan en el
botnet, cerrando todos los hosts de botnet internos y minimizando las
actividades de exfiltracin de datos.

Mtodos de ataque contra la red: ataques furtivos
A lo largo de la historia, recolectar informacin a travs de

reconocimiento furtivo ha sido esencial durante la guerra. La
ciberguerra no es diferente. Usando tcnicas de penetracin y
observacin furtiva, los cibercriminales pueden entender todos los
aspectos de su postura de seguridad, descubrir sus debilidades, y
localizar los datos confidenciales en su red. Esa tcnica es la versin
tecnolgica para el juego "el escondite", que aprovechan de los
endpoints (terminales) gestionadas por sus empleados para acceder
las redes protegidas desde el interior, y aguardan mientras roban o
manipulan silenciosamente datos evitando la deteccin. A veces,
puede llevar meses o incluso aos a las empresas para que se den
cuenta que han sido atacados.
Entender los mtodos y tcnicas de ataque de los hackers ofrece
informacin valiosa que pueden ayudarle a evaluar su postura de
seguridad.

Conociendo los ataques furtivos
Con los puntos de entrada y tcnicas de ataques innumerables en uso

hoy en da, no hay una solucin milagrosa para cada ataque. Los
componentes de seguridad deben trabajar juntos en una estructura
completamente integrada para reunir, correlacionar, condensar, y
compartir inteligencia accionable casi en tiempo real. Alcanzar esta
tarea ambiciosa requiere varios recursos interconectados y un nuevo
nivel de integracin de multi productos, en todo el sistema. Intel
Security logra hacer eso usando dos recursos exclusivos:
Sandboxing (entorno de seguridad) con monitoreo compartido
para identificar malware desconocido y furtivo.
Seccin de inteligencia de deteccin en tiempo real entre
entornos de seguridad.

Sandboxing y monitoreo compartido
Los dispositivos de seguridad perimetral de la red necesitan

comunicarse con las tecnologas de sandboxing y emulacin para
cerrar las brechas de proteccin.
Los sistemas deben ser capaces de detectar en tiempo real archivos
desconocidos en un ambiente seguro, como un sandbox, permitiendo
un monitoreo inteligente de archivos sospechosos antes que entren a
la organizacin.
Si una organizacin confa solamente en la comparacin de patrones
basados en firmas, eso fortalece a los ladrones y los ataques
desconocidos y emergentes.

A pesar que la tcnica de sandboxing puede identificar tanto malware

conocido como desconocido, hay mtodos ms eficientes para filtrar
amenazas conocidas antes que entren en el rea de seguridad
(sandbox). Las tecnologas como creacin de listas negras y listas
blancas, verificacin de reputacin, y escaneo de antivirus permiten
filtrar la mayora de los ataques furtivos de manera rpida y eficiente.
La emulacin en tiempo real permite un nivel avanzado de anlisis
comportamental. La emulacin simula la ejecucin de archivos de un
entorno de host simplificado y registra los comportamientos
resultantes.

La implementacin de la tcnica de sandboxing es el paso final para

cerrar las brechas de seguridad a los ataques furtivos. Al ejecutar el
archivo sospechoso en un sistema operacional virtual, se obtiene la
visibilidad completa del comportamiento e intencin del archivo.
La identificacin heurstica usa reglas y anlisis de patrones de
comportamiento para distinguir similitudes entre un archivo
sospechoso y grupos o familias de amenazas conocidas y
relacionadas. Finalmente, se comparte la inteligencia aprendida a
travs de este proceso de inspeccin completo hacia los sistemas de
seguridad conectados al sandbox.

El sandbox y la emulacin brindan el anlisis de intencin para malware desconocido usado en ataques furtivos. El proceso de seleccin por reduccin
mostrado aqu, identifica rpidamente al malware, canalizando los archivos sospechosos mientras avanzan, por tanto, reduce el nmero de archivos que
necesitan ms anlisis de entorno de pruebas intensivo.

Mtodos de ataque en el navegador
Los navegadores (browsers) llevaron la conveniencia, el conocimiento,

y la productividad de los empleados a niveles antes inimaginables.
Desafortunadamente, tambin brindaron esos mismos beneficios a
los hackers. Cada ventana del navegador puede actuar como una
puerta abierta hacia la organizacin, mientras los el empleado
promedio interacta con cargas (payloads) maliciosas todo el da,
todos los das.
Esos empleados no son tan expertos en seguridad como el personal
de TI, a pesar de eso se ven obligados a tomar decisiones sobre la
interaccin con los contenidos que reciben del navegador. Pero, el
conocimiento es solo una parte de la historia. Es necesario
comprender cmo piensan los hackers para mejorar la postura de
seguridad de las empresas.

Los ladrones de datos usan los recursos ms recientes de cach y

scripting de navegadores para ocultar su comportamiento malicioso.
Tpicamente, el objetivo planeado de sus ataques es la propiedad
intelectual almacenada con los usuarios bien intencionados de
correos electrnicos y de la Web.
Los cibercriminales saben que el navegador es un nuevo tipo de DMZ
y estn contando con en el hecho que el contacto directo con su
contenido web malicioso rendir.

El cach y los idiomas de cifrado de los navegadores (como JavaScript

en PDFs), y las formas web sirven a las necesidades del negocio no
solo mejorando la facilidad de uso y productividad, sino que tambin
automatizando procesos utilizando activadores de accin dinmica y
recuperacin remota de datos.
El JavaScript tambin puede aplicar formateo condicional, como
direcciones y nmeros de telfonos, al igual que auto-llenar esos
campos. Los atacantes se aprovechan de estos procesos para ocultar
ataques y cargas maliciosas. Un soporte amplio de JavaScript permite
a los atacantes usar un script para crear cargas de multi-plataformas
contenidas en formatos de archivo populares como PDF y Flash.
Menos tiempo invertido en esfuerzos de codificacin ofrece a los
atacantes ms tiempo para innovar y crear nuevos ataques. Lo que se
necesita es una forma inteligente de inspeccionar scripts ocultos y
PDFs para determinar si hay intentos criminales escondidos dentro de
estas descargas o archivos adjuntos del correo electrnico.

Elevando la inteligencia de seguridad con inspeccin en tiempo real
Los ciberladrones estn cada vez ms creativos en modificar

vulnerabilidades que tradicionalmente eran atrapadas por deteccin
basada en firmas. Los sistemas de seguridad de hoy en da deben ser
capaces de determinar eficientemente la legitimidad de un ejecutable
desconocido incluso si su firma nunca ha sido vista antes.
Esto requiere recursos de deteccin sin firmas que funcionen en
sintona para bloquear ataques basados en la Web antes que
asuman el control de los endpoints y se diseminen a otros recursos de
la red.

Contenido de la Web y filtrado de URL
Es posible encontrar todo lo que desea en la Weby todo lo que no

desea tambin. Los recursos de filtrado de URL y contenido de la Web
de Intel Security ayudan a los usuarios a mantenerse a salvo de las
esquinas oscuras de la Web usando inteligencia global para
categorizar las amenazas basadas en la reputacin de los documentos
y URLs de la Web.
Esta primera lnea de defensa ayuda a los usuarios a protegerse de
ellos mismos mientras hacen clic sin saber si se trata de URLs
maliciosas o al momento de la descarga de documentos infectados
con malware.

Inspeccin de PDF/JavaScript
La inspeccin de PDF/JavaScript en tiempo real provee anlisis a

detalle de archivos con deteccin de JavaScript para encontrar y
detener amenazas ocultas en scripts incrustados en PDFs. Esta es la
primera de muchas defensas en una matriz de varios niveles de
anlisis de malware sin firmas de Intel Security. Se utiliza un entorno
de JavaScript centralizado para emular la ejecucin del script y
predecir el comportamiento de ejecucin.
Archivos que contienen scripts maliciosos son bloqueados
inmediatamente y en todas las apariciones futuras. Al entender y
bloquear solamente scripts con maliciosos, los negocios pueden
continuar aprovechndose de la flexibilidad de scripting dentro de sus
documentos PDF existentes. La inspeccin a detalle de archivos ofrece
una alternativa de cero latencia para el bloqueo de scripts y es mucho
ms rentable que encaminar todos los archivos desconocidos a un
sandbox (entorno de pruebas).

Inspeccin avanzada de Adobe Flash
Adobe Flash brinda la capacidad de realizar scripting incorporado, la

herramienta favorita de los hackers. Al permitir un motor de entrega
(Flash) y accin remota (scripting), los hackers instruyen a los
endpoints para que accedan a otras cargas (payloads) descargables o
exploten los entornos de endpoints.
El Advanced Adobe Flash Inspection es un motor de inspeccin que
usa heurstica para analizar el comportamiento y estructura del cdigo
Flash (.swf, .cwf, .zwf). Detecta varias tcnicas de aprovechamiento de
Flash, como vector spraying, presencia del shellcode, y mtodos
similares que posteriormente determinan la intencin del contenido
de Adobe Flash entregada por el navegador antes que las cargas
maliciosas sean capaces de encontrar el camino a los endpoints.
Adems, la inspeccin avanzada de Adobe Flash tambin escanean y
detectan archivos Flash maliciosos incrustados en archivos PDF.

Mtodos de ataque contra la red: ataques SSL
Desarrollar una solucin de inspeccin SSL puede ser costosa

respecto al precio de hardware y gastos generales de desempeo. En
muchos casos, la arquitectura de inspeccin SSL de una empresa no
es una prioridad en relacin a otras iniciativas de seguridad. Desde
una perspectiva de arquitectura, crear o implementar una solucin
aislada de inspeccin SSL es un enfoque costoso y complicado,
cargado de desafos de integracin, gastos operacionales constantes,
y requerimientos de mantenimiento. A pesar que la mayora de los
proveedores de seguridad ofrecen inspeccin SSL, sus soluciones
difieren enormemente cuando usted considera el nivel de integracin
de seguridad, disponibilidad, y escalabilidad.

La emulacin en tiempo real simula los entornos de navegadores El

motor de emulacin en tiempo real de Intel Security una visin
inmediata en todo el contenido entrante de la Web, por medio del
navegador y protege a los usuarios durante las sesiones de la Web.
Imita el ambiente de trabajo del navegador para estudiar el
comportamiento de los archivos y scripts entrantes. Estos emuladores
simulan la ejecucin de cdigos, ofrecen conexiones para procesos
maliciosos, y predicen los comportamientos resultantes. Adems, el
anlisis de heurstica inteligente aplica reglas y anlisis de patrones
para identificar similitudes entre un archivo sospechoso y grupos
relacionados de amenazas conocidas. Alinendose y trabajando en
tiempo real, ese motor minimiza significantemente los efectos reales
provocados cuando un usuario interacta con contenido malicioso de
la Web.

Los navegadores colocan a los usuarios en primera lnea del nuevo DMZ, ya que los empleados interactan directamente con PDFs, contenido habilitado
por Flash, y cdigo JavaScript incorporado que puede activar acciones maliciosas. Intel Security ofrece recursos de inspeccin de vanguardia, sin firmas,
para detectar y bloquear ataques de navegador ocultos.

Preocupaciones sobre los sistemas de control industrial
Aunque el uso de sistemas de control industrial conectados al internet no es peligroso en s, muchos de los sistemas que se muestran en la Figura no
tenan proteccin por contrasea ni mantenan actualizados los parches de seguridad ms recientes, lo cual los dejaba expuestos a ataques. Un
estudio realizado por Trend Micro indic que los sistemas de control industrial conectados al internet sufren ataques diariamente. Los datos
demuestran que en un lapso de 28 das se registr un total de 39 ataques de 14 pases distintos. De estos 39 ataques, 12 fueron nicos y podran
clasificarse como focalizados, mientras que 13 fueron repetidos por varios de los mismos agentes en el transcurso de varios das y podran
considerarse focalizados o automatizados.

Spam
El volumen mundial de spam (o correos basura) se ha ido reduciendo desde 2011 debido a enormes desmantelamientos de botnets y otras
operaciones policiales relacionadas con este tipo de mensajes de correo. Sin embargo, falta mucho para que el volumen de spam toque fondo. En
2012, entre los pases de Amrica Latina y el Caribe cubiertos por este informe, el principal pas originador de spam fue Mxico, seguido por Argentina
y Colombia.
COLOMBIA
20%
VENEZUELA
MEXICO
10%
+30%
ARGENTINA
CHILE
20%
10%

URLs maliciosos
El hospedaje de sitios maliciosos es un grave problema en las Amricas y el Caribe. Los dos principales pases originarios de spam tambin ocupan los
primeros lugares en la lista de pases que albergaron el mayor nmero de URLs maliciosos. Colombiapas que ocup el tercer lugar en envo de
spam fue reemplazado por Chile en la lista de principales alojadores de URLs maliciosos.
Desglose de pases que hospedan URLs maliciosos en Amrica Latina y el Caribe (sin incluir a Brasil)
COLOMBIA
15%
MEXICO
+25%
ARGENTINA
CHILE
20%
15%

02 Amenazas y Vulnerabildiades

Heartbleed
Heartbleed (espaol: hemorragia de corazn) es un agujero de seguridad (bug)

de software en la biblioteca de cdigo abierto OpenSSL, solo vulnerable en su
versin 1.0.1f, que permite a un atacante leer la memoria de un servidor o un
cliente, permitindole por ejemplo, conseguir las claves privadas SSL de un
servidor.1 Investigaciones de auditoras muestran que, al parecer, algunos
atacantes han explotado este error desde hace al menos cinco meses antes de
que fuera descubierto y publicado
De acuerdo con Mark J. Cox de OpenSSL, Neel Mehta (Del equipo de seguridad
de Google) report un Heartbleed en el 1 de abril de 2014.El bug implic un
severo error en el manejo de memoria en la implementacin de la "Transport
Layer Security Heartbeat Extension". Este defecto pudo ser usado para revelar
ms de 64 kilobytes de la memoria de la aplicacin con cada heartbeat.
El bug fue nombrado por un ingeniero en la firma Codenomicon, una empresa
finlandesa de ciber seguridad, quien aparte cre el logo y lanz el dominio
Heartbleed.com para explicar el bug al pblico en general.13 De acuerdo con la
propia empresa, Neel Mehta primero report el bug a OpenSSL, pero ambos,
Google y Codenomicon, lo descubrieron independientemente.7 Codenomicon
reporta al 3 de abril como su fecha de descubrimento del bug y su fecha de
notificacin de NCSC-FI (formalmente conocido como CERT-FI) para coordinacin
de vulnerabilidades.Mehta adems felicit a Codenomicon, sin ir a detalles.

Explicacin simplificada de "Heartbleed"
Uso Normal
CLIENTE SERVIDOR CLIENTE SERVIDOR
01 02 03 04
Servidor, envame Usuario Rafael se ha Ave Fin de la solicitud
esta palabra de 3 conectado, Usuario
letras, si estas ah: Samuel se ha
Ave conectado. Usuario
Alicia requiere 3
letras. Ave. La clave
maestra del Servidor
es 123456. Usuario
Carolina quiere
cambiar su
contrasea

Explicacin simplificada de "Heartbleed"
Uso Malicioso (Heartbleed)
CLIENTE SERVIDOR CLIENTE SERVIDOR
01 02 03 04
Servidor, envame Usuario Rafael se ha AVE, La clave maestra Fin de la solicitud
esta palabra de 500 conectado, Usuario es 123456. Usuario
letras, si estas ah: Samuel se ha Carolina quiere
Ave conectado. Usuario cambiar su
Alicia requiere 500 contrasea
letras. Ave. La clave
maestra del Servidor
es 123456. Usuario
Carolina quiere
cambiar su
contrasea

Shellshock
Shellshock o tambin conocido como bashdoor es el nombre de una familia de

fallas de seguridad que afecta al ampliamente usado Bourne-Again Shell (Bash)
de Unix. El primero de ellos fue dado a conocer el 24 de septiembre de 2014.
que podra permitir a hackers tomar el control a distancia de un estimado de
500 millones de computadores en el mundo.
Shellshock es una vulnerabilidad que tiene ms de 20 aos de antigedad, pero

que fue dada a conocer slo en septiembre del ao 2014.
Esta vulneralidad afecta a Bourne-Again Shell (Bash), un componente de

software que interpreta rdenes en el sistema Unix, base de Linux y de Mac OS
de Apple. El peligro de esta falla de seguridad radica en que cualquier hacker
podra controlar a distancia cualquier computador o sistema que utilice Bash,
como los servidores que funcionan con Linux o los dispositivos con sistemas
operativos de Apple.
Realizar ataques utilizando esta falla de seguridad es relativamente fcil, lo que

hace pensar a expertos que estamos ante un problema mayor que Heartbleed,
la falla de seguridad detectada el mes de abril del mismo ao.

Cronologa de explotacin de Shellshock
Otra vulnerabilidad crtica , con impacto similar a Heartbleed , surgido en la ltima parte de Setiembre del 2014. El defecto , conocido como Shellshock ,
se encuentra en la mayora de los sistemas operativos GNU/Linux y UNIX, as como en Mac OS X. Fue utilizado para difundir malware, para construir
una red de bots , ya reunir informacin sobre los servidores vulnerables.

FlashPack
FlashPack Exploit Kit se distribuye como un conjunto de exploits que buscan explotar
diferentes vulnerabilidades para las que han sido programados con el fin de permitir a los
piratas informticos tomar el control del sistema de la vctima.
Este tipo de malware se suele distribuir de muchas formas diferentes como por ejemplo a
travs de correo electrnico no deseado, aplicaciones maliciosas descargadas de Internet y,
como novedad, a travs de los botones sociales de diferentes pginas web (por ejemplo para
compartir contenido en Twitter, Facebook, etc).
Los piratas informticos crean una pgina web (o modifican una ya existente mediante un
ataque informtico) de manera que introducen un script malicioso sustituyendo al script
habitual para compartir pginas en los medios sociales de manera que cuando la vctima
pulsa sobre dicho script automticamente se descarga y ejecuta el cdigo malicioso del kit de
exploits.
Estos exploits utilizan la vulnerabilidad CVE-2014-0497 detectada en Adobe Flash Player en
febrero de este mismo ao y que muchos usuarios an no han parcheado. Cuando el exploit
consigue explotar el software gana permisos en el sistema y descarga automticamente otro
tipo de malware que permite al pirata informtico ganar permisos en el sistema de la vctima.
El troyano Carberp es uno de los que han sido distribuidos a travs de este tipo de ataque.
Los principales objetivos de estos ataques son usuarios residentes en Japn, aunque ya se
han detectado casos de infecciones en otros pases como Taiwan y Estados Unidos, por lo
que la amenaza comienza a generalizarse y es posible que en poco tiempo llegue a afectar a
Europa.

Distribucin de equipos infectados por FlashPack
Durante 17 das (1 a 17 agosto de 2014 ), ms de 60.000 usuarios se han visto afectados por este ataque.
Este ataque en particular dirigida a los usuarios japoneses a travs de un sitio web comprometido.

Exploit Kits
Los exploit kits se han vuelto muy populares en el submundo criminal debido a su capacidad
para automatizar el proceso de distribucin del malware e infectar a los usuarios. La mayora
de los ataques que se producen en la web en estos das se originan a partir de estos kits de
herramientas maliciosas.
El nuevo Reporte Online de Seguridad Global de Trustwave revelaron recientemente, el Exploit

Kit Magnitude se est convirtiendo rpidamente en el abuelo de todos ellos lo que subraya la
creciente sofisticacin del crimeware y cun madura se est volviendo la profesin del
cibercrimen.
Quienes estudiaron el funcionamiento interno de Magnitude que ahora controla

aproximadamente un tercio de la cuota de mercado de los exploit kits para exponer, entre
otras cosas, su estructura nica de pago/ingresos, sus capacidades administrativas efectivas y
eficientes, y su repertorio de exploits difciles de detectar.

Top Exploit Kits 2014
Al lado de Magnitude exploit kit, Rig predominio el 2014, esto puede atribuirse a las campaias que cambiaron sus servicios desde el
FlashPack exploit a finales de agosto.

Malware para POS
Los terminales de cobro por tarjeta de crdito se encuentran, por estos das, bajo la amenaza
de un nuevo malware llamado PoSeidon que, segn se cree, podra ser an ms peligroso
que Zeus, el exploit kit usado para robar millones de datos de tarjetas de crdito a clientes de
Target.
De acuerdo a The Register, PoSeidon trabaja infectando los puntos de venta y revisando su
memoria en busca de datos de tarjetas de crdito. La informacin capturada se enva luego a
servidores externos muchos de los cuales se encuentran alojados en Rusia desde donde
eventualmente es vendida.
Esta nueva amenaza fue descubierta por Cisco, que advierte que PoSeidon forma parte de un
gran nmero de ataques (cada vez ms sofisticados) que tienen como objetivo principal los
sistemas de los terminales de cobro con tarjetas. PoSeidon contiene un loader que, segn
seala Tech Radar, es particularmente peligroso porque los terminales infectados pueden
sobrevivir a reinicios y a cierres / inicios de sesin de usuario.
Los atacantes continuarn apuntando a atacar los puntos de venta y empleando tcnicas de
ofuscacin en un intento de evitar ser detectados, explic el blog de Cisco. Mientras se sigan
obteniendo retornos de este tipo de ataques, los cibercriminales van a continuar invirtiendo
en la innovacin y el desarrollo de nuevas familias de malware.
Los administradores de redes debern mantenerse alerta y sumar las buenas prcticas de la
industria para asegurar su cobertura y proteccin ante las amenazas de malware cada vez
ms avanzadas.

POS Infectados por Malware por pas
Los Estados Unidos encabeza la lista de pases con el mayor nmero de infecciones de malware PoS. Esto puede ser debido al
amplio uso de tarjetas de banda magntica.

Cronologa y relaciones de PoS Malware
Las flechas que conectan los diferentes programas maliciosos se refieren a las versiones evolucionadas del respectivo malware.

Ransomware
Un ransomware es un tipo de programa informtico malintencionado que restringe el acceso

a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar
esta restriccin.1 Algunos tipos de ransomware cifran los archivos del sistema operativo
inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Se hicieron populares en Rusia y su uso creci internacionalmente en junio del 2013. La

empresa McAfee seal que slo en el primer trimestre del 2013 haba detectado ms de
250.000 tipos de ransomwares nicos.
Normalmente un ransomware se transmite tanto como un troyano como un gusano,

infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una
vulnerabilidad de software. En este punto, el ransomware se iniciar y cifrar los archivos del
usuario con una determinada clave, que slo el creador del ransomware conoce y proveer al
usuario que la reclame a cambio de un pago.

Cronologa de la Aparicin de ransomware (Variantes)
Un ransomware es un tipo de programa informtico malintencionado que restringe el acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio de quitar esta restriccin.En comparacin con 2013, el 2014 apareci un promedio de
4 a 5 variantes cripto-ransomware en 2014.

Infecciones de Online Banking Malware
El malware bancario en lnea era ms prevalente en agosto del 2014 en alrededor de 54K infecciones. El volumen total de malware
banca en lnea se refiere al nmero de infecciones por mes.

Pases ms afectados por Malware de Banca en Lnea
Japn, de ser el principal pas ms afectado por el malware de banca en lnea en el segundo trimestre, redujo significativamente
lugares debido a las soluciones creadas para VAWTRAK.
El alto volumen de las infecciones de malware bancario en lnea en Estados Unidos en julio se debi a ZBOT.
Infecciones en Brasil y Vietnam subieron ltimo trimestre. Tanto infecciones India y Vietnam se atribuyeron a Ramnit.

Pases ms afectados por Malware de Banca en Lnea
Japn, de ser el principal pas ms afectado por el malware de banca en lnea en el segundo trimestre, redujo significativamente
lugares debido a las soluciones creadas para VAWTRAK.
El alto volumen de las infecciones de malware bancario en lnea en Estados Unidos en julio se debi a ZBOT.
Infecciones en Brasil y Vietnam subieron ltimo trimestre. Tanto infecciones India y Vietnam se atribuyeron a Ramnit.

Fake ID
Apodado "Fake ID", la vulnerabilidad permite que las aplicaciones maliciosas para hacerse
pasar por aplicaciones de confianza especialmente reconocidos sin ninguna notificacin al
usuario. Esto puede resultar en un amplio espectro de consecuencias. Por ejemplo, la
vulnerabilidad puede ser utilizado por el malware para escapar de la caja de arena aplicacin
normal y tomar una o ms acciones maliciosas: insertar un caballo de Troya en una aplicacin
mediante la suplantacin de Adobe Systems; tener acceso a los datos financieros y el pago
NFC hacindose pasar por Google Wallet; o tomar control de la gestin completa de todo el
dispositivo mediante la suplantacin 3LM.
Se trata de una vulnerabilidad generalizada que se remonta a la liberacin enero de 2010 de
Android 2.1 y que afecta a todos los dispositivos que no estn parcheados para Google error
13678484, descritos a Google y liberados para remendar en abril de 2014. Todos los
dispositivos anteriores a Android 4.4 ("KitKat") son vulnerables al plugin webview escalada de
privilegios Adobe System, que permite que una aplicacin maliciosa para inyectar cdigo de
caballo de Troya (en forma de un plugin webview) en otras aplicaciones, lo que lleva a tomar el
control de toda la aplicacin, todos los datos de las aplicaciones, y ser capaz de hacer
cualquier cosa que la aplicacin se le permite hacer. Android 4.4 es vulnerable a la
falsificacin de identidad, pero no especficamente a la vistaweb plugin de Adobe System
debido a un cambio en el componente WebView (el cambio de webkit al cromo alejado del
cdigo del plugin Adobe centrada vulnerable).
Los usuarios de dispositivos de proveedores especficos que incluyen extensiones de
administracin de dispositivos estn en riesgo de un compromiso dispositivo parcial o total
por el malware. Las extensiones de dispositivos 3LM (propiedad temporalmente por Motorola
y Google) estn presentes en varios HTC, Pantech, Sharp, Sony Ericsson, y los dispositivos de
Motorola - y son susceptibles a la vulnerabilidad tambin.
S.O. Android afectados por FakeID
Ms del 75% de los usuarios de Android se vieron afectados por FakeID. Slo la versin de android KitKat se vio menos afectado.

PoS-RAM-Scraping
Un tipo especial de malware ha estado golpeando los titulares recientemente que ataca la memoria RAM de Punto de Venta (POS).
En pocas palabras, raspadores de RAM PoS roban datos de pago - como tarjeta de crdito la pista uno y hacer un seguimiento de
dos datos - desde la RAM de los sistemas de punto de venta.

Cronologa de PoS-RAM-Scraping

Top 10 Dominios maliciosos, 2014
Flyclick.biz lleg a la cima de la lista de ser en el sptimo lugar, ya que redirige a los usuarios a diferentes sitios de anuncios.

Top 10 URLs maliciosos por pas
Estados Unidos encabez el trimestre, con un incremento del 3% respecto al trimestre anterior.

Pases con mayor nmero de visitas a sitios maliciosos
Los Estados Unidos y Japn siguen encabezando la lista.

Idiomas ms utilizados de Spam
En concordancia con cada trimestre, Ingls conserv el primer puesto.

Vctimas por ubicacin de ataque informticos
Taiwn y los Estados Unidos fueron los dos pases ms focalizados. La distribucin de los pases vctimas en el ltimo trimestre de
2014 fue bastante amplio, lo que demuestra que los ataques son cada vez ms distribuidos globalmente.

Ataques Dirigidos
Taiwn y los Estados Unidos fueron los dos pases ms focalizados. La distribucin de los pases vctimas en el ltimo trimestre de
2014 fue bastante amplio, lo que demuestra que los ataques son cada vez ms distribuidos globalmente.

Ubicaciones de Ataques Dirigidos a servidores
Ubicacin de los servidores en relacin con los ataques dirigidos en su mayora compuestos por los Estados Unidos, Taiwn y Hong
Kong

Incidentes de violacin de datos reportados en el 2014

Consultas?
ggomez@esan.edu.pe
+51 992247107


Sesion02 2016 PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Sesion02 2016 PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

Sesin 01

Fuentes y riesgos de ataque a la informacin

Gianncarlo Gmez Morales

Av. Petit Thouars 385

+51 315 9610

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Los ladrones adoran los puntos ciegos especialmente cuando estos

Gianncarlo Gmez Morales

Dado el predominio de ataques SSL, Intel Security cree que la

Gianncarlo Gmez Morales

La inspeccin SSL de entrada permite que las organizaciones

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Los hackers de hoy en da han perfeccionado sus tcnicas. Ellos

Gianncarlo Gmez Morales

El arsenal de trucos de malware evasivo y tcnicas de ataque de los

Gianncarlo Gmez Morales

Existen varias tecnologas exclusivas que aclaran y explican las

Gianncarlo Gmez Morales

Utilizando tcnicas de fragmentacin y re ensamblado de carga, los

Gianncarlo Gmez Morales

Para evitar los sandboxes (entornos de seguridad), los cdigos

Gianncarlo Gmez Morales

Los botnets de prxima generacin han complicado el asunto cuando se trata

Gianncarlo Gmez Morales

A lo largo de la historia, recolectar informacin a travs de

Gianncarlo Gmez Morales

Con los puntos de entrada y tcnicas de ataques innumerables en uso

Gianncarlo Gmez Morales

Los dispositivos de seguridad perimetral de la red necesitan

Gianncarlo Gmez Morales

A pesar que la tcnica de sandboxing puede identificar tanto malware

Gianncarlo Gmez Morales

La implementacin de la tcnica de sandboxing es el paso final para

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Los navegadores (browsers) llevaron la conveniencia, el conocimiento,

Gianncarlo Gmez Morales

Los ladrones de datos usan los recursos ms recientes de cach y

Gianncarlo Gmez Morales

El cach y los idiomas de cifrado de los navegadores (como JavaScript

Gianncarlo Gmez Morales

Los ciberladrones estn cada vez ms creativos en modificar

Gianncarlo Gmez Morales

Es posible encontrar todo lo que desea en la Weby todo lo que no

Gianncarlo Gmez Morales

La inspeccin de PDF/JavaScript en tiempo real provee anlisis a

Gianncarlo Gmez Morales

Adobe Flash brinda la capacidad de realizar scripting incorporado, la

Gianncarlo Gmez Morales

Desarrollar una solucin de inspeccin SSL puede ser costosa

Gianncarlo Gmez Morales

La emulacin en tiempo real simula los entornos de navegadores El

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Gianncarlo Gmez Morales

Heartbleed (espaol: hemorragia de corazn) es un agujero de seguridad (bug)

Gianncarlo Gmez Morales

CLIENTE SERVIDOR CLIENTE SERVIDOR