Post on 12-Jul-2022
III
ENCUENTRO ENS
Un Modelo de Cibervigilancia
CERTrado (CSIRTrado) en
Ciberamenazas
Índice
1. ¿Vigilancia?
2. Vigilancia y Ciberespacio
3. CERT/CSIRT y Cibervigilancia
4. Caso de uso 1
5. Caso de uso 2
6. Caso de uso 3
7. ¿Qué cibervigilancia para CSIRTs?
8. Modelo Esquemático para CSIRTs
¿Vigilancia?
De manera muy genérica, por tanto sin matices, la vigilancia es
el conjunto de procedimientos dispuestos para determinar si lo
observado se ajusta a una(s) determinada(s) regla(s) o patrones
esperados.
En términos de seguridad, esas reglas serían las leyes y lo
observado serían el conjunto de comportamientos de los sujetos
obligados por esas leyes.
¿Vigilancia?
En vigilancia de seguridad, se contemplan dos tipos de
escenarios:
• La vigilancia (de los sujetos obligados) en espacios privados
regidos por la ley. Requiere autorización judicial que,
motivadamente, quiebre algún derecho fundamental (p.ej,
L.O. 13/2015 de modificación de la LECrim).
• La vigilancia en espacios públicos regidos por la ley. En
algunos supuestos, como la videovigilancia (L.O. 4/97),
requiere autorizaciones administrativas.
Derecho Penal
Derecho Administrativo
Vigilancia y Ciberespacio
En lo que tiene que ver con sistemas de información y comunicación en
entornos privados, rige la misma base legal de las autorizados judiciales,
por ejemplo en lo que tiene que ver con interceptación de comunicaciones
(conversación privada de Whatsapp).
En lo que tiene que ver con la circulación de información en el dominio
público (el equivalente al espacio público videovigilado, por ejemplo – grupo
público de Whatsapp o Telegram), no consta que exista un marco legislativo
específico que regule la cibervigilancia.
• ¿Sería necesaria una regulación de la cibervigilancia en el ciberespacio
público similar a la regulación de la videovigilancia según la L.O. 4/97?
Vigilancia y Ciberespacio
La orientación regulatoria del dominio público en el ciberespacio es
actualmente la marcada por la legislación de protección de datos, el marco
europeo de la RGPD y su trasposición en los Estados Miembros.
• El artículo 15 de la Directiva 2002/58/CE sobre privacidad electrónica
permite a los Estados miembros introducir medidas legislativas para
salvaguardar la seguridad pública.
• El artículo 22 de la L.O. 3/2018, de Protección de Datos Personales y
Garantía de los Derechos Digitales, contempla el tratamiento de datos
con fines de videovigilancia.
Vigilancia y CiberespacioEquipos de respuesta a incidentes de seguridad informática (CSIRT): Real Decreto-Ley
12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información:
• Preámbulo: Los CSIRT son los equipos de respuesta a incidentes que analizan riesgos y
supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones
para mitigar sus efectos.
• Art. 3: define redes y sistemas de información, datos digitales, y seguridad de las redes.
• Art. 12: Los CSIRT desempeñarán las siguientes funciones:
a) Supervisar incidentes a escala nacional.
b) Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes
entre los interesados.
c) Responder a incidentes.
d) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la
situación.
CERT/CSIRT y Cibervigilancia
¿son necesarios procedimientos de cibervigilancia en el dominio
público para que los CSIRT cumplan su mandato de alerta
temprana y análisis dinámico de riesgo respecto de
ciberamenazas contra sistemas tecnológicos?
Caso de uso 1: SEO->scripts->phishing
Desde 2018 se viene documentando que identidades hacktivistas, otras que fingen el
rol del hacktivismo intencionadamente para disfrazar la naturaleza lucrativa ilícita de
sus acciones, o aquéllas que tienen una “doble militancia”, desarrollan tres tipos de
tácticas de pequeña cibercriminal que son concurrentes a la desfiguración de un sitio
web. Ha pasado del 3’2% en 2019 al 24’8% en 2020.
1. La táctica fraudulenta que se conoce como Spamdexing o SEO Spam, de search
engine optimization, u optimización de motores de búsqueda, que consiste en
incrementar ilícitamente el peso en buscadores web de contenidos comerciales
alojados en webs asiáticas, principalmente japonesas -secundariamente chinas y
turcas-, mediante la inyección forzada en la web atacada de contenidos comerciales
a promocionar; la inclusión de estos contenidos en numerosas webs victimizadas
altera el ranking de posicionamiento de esos contenidos en buscadores.
Caso de uso 1: SEO->scripts->phishing
2. La inyección forzada en el código software de las
webs atacadas de scripts, generalmente en lenguaje
JavaScript, de funciones de redirección de visitantes
hacia webs de distribución de contenidos maliciosos,
de forma que alguien que conecta a una web
previamente atacada es conducido automáticamente
a redes de distribución de adware, código dañino que
puede llegar incluso a la descarga de virus en el
dispositivo de la víctima. En ocasiones, la inserción
de scripts redirectores está mediada o
complementada con la inyección de webshells en los
sitios comprometidos (caso de Pharma Spam). Una
webshell es en realidad una puerta trasera que
puede ser utilizada para la inoculación de malware,
como el ransomware. El informe anual de Sucuri
para 2019 advertía que las webs infectadas por SEO
Spam tienen la ratio más elevada de reinfecciones
por cepas adicionales de malware.
Caso de uso 1: SEO->scripts->phishing
3. A partir de noviembre de 2020 con la
detección de dos casos en webs
alojadas en Nigeria y Burkina-Faso,
identidades pretendidamente
hacktivistas han venido inyectado en
algunos de sus ataques sobre las
webs victimizadas o bien una
estructura completa de phishing o
bien scripts redirectores hacia webs
de phishing. Un primer caso de este
procedimiento ya sería observado
en España en 2021.
Caso de uso 1: SEO->scripts->phishing
Caso de uso 2:‘Mamad Warning’ es una identidad
hacktivista actuando al menos desde
2016 con desfiguraciones web por
todo el mundo, principalmente
actuando sobre sitios web provistos
de software Microsoft (ASP.net, IIS,
Windows, DotNetNuke). En las
desfiguraciones inyecta contenido
que mezcla simbología de
‘Anonymous’ con iconografía
referenciada a Irán, además de los
términos “Iranian Hackers” o “Persian
Hackers”. Podría emplear por sí
misma -o formar parte de un
agrupamiento hacktivista que
incluyera- los sobrenombres ‘Bax
206 of Iran’ y ‘Mrb3hz4d’
Mamad Warning webshell -> Lebanese Cedar APT
A raíz de varias oleadas de ciberataques por desfiguración sobre
webs de EEUU inyectando contenidos de temática proiraní, en
septiembre de 2020 el Departamento de Justicia de EEUU
presentaba cargos criminales contra dos nacionales de Irán
acusados de los ataques por desfiguración de sitios web en EEUU,
en el contexto de las oleadas de protesta por la muerte del general
Qasem Soleimani. El Departamento Federal de Investigación (FBI)
del Departamento de Justicia tiene identificados a esos dos
nacionales iraníes como Behzad Mohammadzadeh, con el alias
‘Mrb3hz4d’; y Marwan Abusrour como ‘Mrwn007’.
En enero de 2021 la empresa de ciberseguridad Clearsky afirmaba
en un informe que la ciberamenaza persistente avanzada (APT)
conocida como ‘Lebanese Cedar’, que las atribuciones de esta
empresa consideran un “cibercomando” de la milicia proiraní
libanesa Hezbollah, está utilizando, entre las herramientas de
penetración y persistencia en servidores web en sus ataques, una
webshell denominada ‘Mamad Warning Sheller’, que coincidiría
con la denominación del alias empleado por ‘Mamad Warning’.
Caso de uso 2: Mamad Warning webshell -> Lebanese Cedar APT
Caso de uso 2:Mamad Warning webshell -> Lebanese Cedar APT
Por otro lado, el 22.2.2021 FireEye advertía de que había
detectado una nueva webshell, a la que denomina
‘DewMode’, que estaría siendo utilizada por la
ciberamenaza FIN11, siendo que pudiera estarse
implementando para la inyección de la cepa de
ransomware ‘CLOP’ en los servidores comprometidos con
esa webshell. Los ataques de FIN11 para inocular
‘DewMode’ se estarían llevando a cabo mediante la
explotación de una vulnerabilidad en la herramienta File
Transfer Appliance (FTA) de Accellion.
Caso de uso 3: #FreeXelj -> #OpSpainDurante 2020 a los marcos narrativos hacktivistas
#OpCatalunya y #OpSpain se les unían las etiquetas #FreeXelj
u #OpFreeXelj, un intento de visibilizar el descontento hacktivista
por el encausamiento judicial de una persona residente en la
provincia de Tarragona, que desde 2018 ha sido arrestada
policialmente en un par de ocasiones por su presunta
participación en actividades ilícitas ligadas a ciberataques en el
contexto de la #OpCatalunya/#OpSpain. En el último tercio de
2020 un treintena de ciberataques fueron llevados a cabo contra
webs en España reivindicándolos mediante la etiqueta #FreeXelj,
generalmente asociándolos a #OpSpain.
Alrededor de un centenar de webs fueron atacadas entre el último trimestre
de 2017 y el primero de 2018
En 2020, y en media docena de casos, sitios web fueron atacados afiliando
las acciones a #OpCatalunya por parte de ‘Crystal_MSF’, que además
inyectó en ellas contenido Spamdexing.
¿Desde un CSIRT concernido en España, habría que vigilar #FreeXelj?
sede.mcu.gob.es/rpi4/webpages/publico/FreeXelj.html
10.11.2020
¿Qué Cibervigilancia para la Alerta Temprana y el
Análisis Dinámico de Riesgos?
Por su lado, tradicionalmente, los CSIRT han ”huido” de la vigilancia de
“narrativas militantes” circulando en el dominio público, por considerarlas un
asunto “poco técnico”, no vinculado directamente a ciberamenazas
potencialmente atacantes de sistemas de información y, en general, un tema a
tratar por los órganos que se dediquen a vigilancia digital o a OSINT.
Por su lado, tradicionalmente, las unidades de vigilancia digital o las unidades de
Fuentes Abiertas se centran más en la semántica de los contenidos ”narrativos”
que circulan por el dominio público en canales digitales, así como en el
comportamiento digital de identidades “militantes” y de sus conexiones
interpersonales.
• Resultado: a veces aparece una “tierra de nadie” que los CSIRT visitan
menos, y para las unidades OSINT es demasiado técnico, pero que suele
estar poblada de observables que son marcadores de ciberamenazas a
sistemas de información.
Modelo Esquemático de Cibervigilancia para CSIRT
Directiva de misión. Qué activos tecnológicos está el CSIRT mandatado para proteger
respecto de incidentes de seguridad informática, acerca de los cuales debe elaborar y
emitir “alertas tempranas, alertas, avisos e información, y elaborar análisis de riesgo
dinámicos” (RDL 12/2018); por tanto, prevenir, mitigar, prepararse, responder, recuperar.
Simetrización. Definición del Espacio de Misión
¿Ante qué tipología de ciberamenazas debe estar el CSIRT preparado,
estableciendo una simetría (ideal) de respuesta?
¿Qué observables tienen potencial para marcar preventivamente las
amenazas? (por ejemplo, en CSIRT universidades: Open Journal Systems).
¿Dónde se encuentran esos observables en el ciberespacio?
Infraestructura. Cuál será la infraestructura en recursos humanos y técnicos desplegada
para lograr la simetrización.
Reglas de operaciones. Qué tipo de tácticas, técnicas y procedimientos desplegarán los
técnicos del servicio de cibervigilancia de CSIRT para cumplir su misión (sondas,
escaneo de webs buscando observables, incursión en web no indexada, rastreo de
scripts maliciosos, monitorización de redes sociales….).
Observables
Marcadores de
Ciberamenaza
El valor de la información producida dependerá:
• Oportunidad: cuanto más preventiva sea la información aportada por Cibervigilancia, mayor
será el tiempo de reacción proporcionado a los órganos de respuesta y/o decisión del CSIRT.
• Exactitud: cuanto más acertado sea el análisis de la información aportada, más ajustada será
la respuesta y/o decisión que haya que adoptarse en base a esa información.
El Servicio de Cibervigilancia se optimiza articulando su estructura interna a través
de la operativa de dos equipos:
• Equipo de Alerta: encargado de desplegar y operar los dispositivos y procedimientos de
monitorización de los OMC definidos en el espacio de misión del servicio (aportación de
contenidos para el Equipo de Análisis).
• Equipo de Análisis: efectúa una evaluación oportuna sobre el potencial de riesgo que
implica la amenaza. La evaluación pone en contexto la amenaza y proporciona a los
sistemas de respuesta y decisión mayor capacidad de acción inteligente (evita sobre- o
infra-reacciones).
La misión de un Servicio de Cibervigilancia como órgano especializado de un CSIRT es
proporcionar información de valor sobre la presencia (antecedente/preventivo y
prospectivo, concurrente/mitigación, respuesta, recuperación, consiguiente/atribución)
de ciberamenazas, que permita adoptar decisiones para prevenirlas, mitigarlas,
controlarlas, contenerlas o anularlas.Infraestructura
Interna
Cibervigilancia
Infraestructura
CSIRT
Modelo Esquemático de Cibervigilancia para CSIRT
Muchas gracias