Madrid, marzo de 2011

Amenazas y Vulnerabilidades a los Sistemas de Información y Comunicaciones.

Conclusiones 2010

Tendencias 2011

SIN CLASIFICAR

2SIN CLASIFICAR

FORO: VII ciclo de conferencias. Temas avanzados en Seguridad y Sociedad de la Información.

SESIÓN: Ciberamenazas. Escenario 2010. Tendencias 2011.

OBJETIVO: Describir las amenazas y vulnerabilidades a que están sometidos los Sistemas de las TIC. Escenario de 2011.

PONENTE: - Centro Criptológico Nacional

FECHA: 01 de marzo de 2011

Presentación

3SIN CLASIFICAR

Índice

ENERO 2009:Sobre 1.500 millones

usuarios Internet

ENERO 2001:Sobre 458 millones usuarios Internet

• Centro Criptológico Nacional- Marco Legal / Funciones- CCN-CERT

• CIBERAMENAZAS 2010 / TENDENCIAS 2011Agentes de la amenazaVulnerabilidadesCódigo dañino

Troyanos / BotnetsAtaques servicios Web SCADAOtros ataquesUsuarios

Estrategias de ciberseguridadConclusiones

4SIN CLASIFICAR

El CCN actúa según el siguiente marco legal:

Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN.

Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).

Marco Legal

Comisión Delegada del Gobierno para asuntos de Inteligencia. Define los objetivos del CNI.

Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

5SIN CLASIFICAR

Marco Legal (1): CNI (Ley 11/2002)

Riesgos Emergentes

Art. 4 a) Inteligencia

Art. 4 b) ContraInteligencia

Art. 4 c) Relaciones

Art. 4 d) SIGINT

Art. 4 e) STIC

Art. 4 f) Protección Información Clasificada

Art. 4 g) Seguridad Propia

En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene quehacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del CNI en el artículo 4 de la Ley

NACIONAL

UE / OTAN / ACUERDOS INTERNACIONALES

6SIN CLASIFICAR

Marco Legal (2): Funciones CCN• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la

seguridad de las TIC en la Administración

• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados

• Velar por el cumplimiento normativa relativa a la protección de la información clasificadaen su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países. Para el desarrollo de las funciones mencionadas, coordinaciónoportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.

7SIN CLASIFICAR

Marco Conceptual (1): Inteligencia y Seguridad

Riesgos Emergentes

Art. 4 b) ContraInteligencia

Art. 4 e) STIC

Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO Cyber Defence Concept)

InfOps&Ciberataques

Inteligencia

Ciberdefensa

8SIN CLASIFICAR

RD 3/2010

9SIN CLASIFICAR

RD 3/2010Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas.1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios:a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas.El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.

2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.

10SIN CLASIFICAR

Vulnerabilidades y código dañino

11SIN CLASIFICAR

Normativa• 156 documentos, normas, instrucciones, guías y recomendaciones

(21 pendientes de su aprobación)• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD

10 Guías• Nueva clasificación:

Cumplen con el ENSAdaptables al ENS

- CCN-STIC 000: Instrucciones/Políticas STIC- CCN-STIC 100: Procedimientos- CCN-STIC 200: Normas- CCN-STIC 300: Instrucciones Técnicas - CCN-STIC 400: Guías Generales- CCN-STIC 500: Guías Entornos Windows- CCN-STIC 600: Guías Otros Entornos- CCN-STIC 800: Guías desarrollo ENS- CCN-STIC 900: Informes Técnicos

12SIN CLASIFICAR

Formación

Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la

información y las comunicaciones.

Cursos Informativos y de Concienciación

Cursos Básicos de Seguridad

Cursos Específicos de Gestión

Cursos de Especialización

Disponibles www.ccn-cert.cni.es

13SIN CLASIFICAR

CCN-CERT

• MISIÓN:- Ser el centro de alerta y respuesta de incidentes de seguridad,

ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.

• COMUNIDAD:Administraciones Públicas de España

• HITOS RELEVANTES

• 2006 Creación

• 2007 Recon. internacional

• 2008 EGC

• 2009 Sondas SARA

• 2010 Sondas INTERNET

RD 3/2010

•

14SIN CLASIFICAR

Portal CCN-CERT

15SIN CLASIFICAR

CCN-CERT …. www.ccn-cert.cni.es

16SIN CLASIFICAR

• RED SARA:- Servicio para la Intranet Administrativa- Coordinado con Mº Presidencia.- Portal de Informes.

• SONDAS SALIDAS DE INTERNET AAPP:- Servicio por suscripción de los Organismos.- Despliegue de Sensores.- Portal de Informes.

• BENEFICIOS:- Detección de Ataques- Estadísticas propias y patrones de ataque- Actualización de Firmas

SISTEMAS DE ALERTA TEMPRANA

17SIN CLASIFICAR

AMENAZAS VULNERABILIDADES

18SIN CLASIFICAR

- CibercrimenRobo propiedad intelectualRobo de información de tarjetas de crédito / certificadosFraude Telemático / Blanqueo de dineroRobo de identidades…

- CiberterrorismoComunicaciones / Obtención infoPropaganda / financiaciónInfraestructuras críticas ¿?

- Hacking Político / PatrióticoChina- Japón; Azerbaiyán-Turquía; India-Pakistán; Árabe-Israelí….

HackersHackers

Usuarios internos

Ciberamenazas. Agentes- Ciberespionaje

EstadosObjetivo: Industrias / empresasAmenaza:

Servicios de Inteligencia /FFAAOtras empresas de la competencia

19SIN CLASIFICAR

Coste del cibercrimen

20SIN CLASIFICAR

Vulnerabilidades 2010

•Tendencia a la baja durante 2010.-Mejores prácticas de seguridad en el desarrollo de aplicaciones

-Mayor proactividad de los vendedoresMayor número de recursosTrato a investigadores

Comunicaciones; reconocimiento…

-Desmotivación de investigadoresProgramas de recompensas

-Vulnerabilidades DIA CERORemote code executionAmplio mercado negroExploit asociado

21SIN CLASIFICAR

Vulnerabilidades 2010. Fabricantes

•Publicación periódica•Adobe / Apple más vulnerabilidades detectadas•Necesidad de publicación de parches fuera de ciclo

Criticidad del impactoEstado de explotación vulnerabilidad.

22SIN CLASIFICAR

Vulnerabilidades 2010. Conclusiones

1. Distribución programada de actualizaciones de seguridad

2. Divulgación coordinada / total de vulnerabilidadesSolo divulgación pública si ataque activo

3. Más actualizaciones seguridad fuera cicloMás vulnerabilidades DIA CERO.Incremento de los Programas de recompensas

4. Más vulnerabilidades críticas

5. Crecimiento de vulnerabilidades Web

23SIN CLASIFICAR

Vulnerabilidades 2011. Tendencias

1. APLICACIONES WEB (Navegadores Web)

1. APLICACIONES DE TERCEROSAplicaciones (Java, Acrobat, Flash…)

3. DISPOSITIVOS MÓVILES

- SISTEMAS OPERATIVOS

- Infraestructuras críticas . Programas SCADA

Usuarios VIDEOS /WEB SOCIALES

24SIN CLASIFICAR

Amenazas 2010. Código Dañino

•34% del código detectado en toda la historia.-Rentabilidad de los ataques-Difícil atribución.-Implicación de los gobiernos

Amenaza Persistente Avanzada (APT)Operación Aurora (Enero 2010)Stutnex (Julio 2010)

Mcafee:

Targeted cyberespionge or cybersabotage attack that is carried out under the sponsorship of a nation-state for something other than a pure financial/criminal reason or political protest

25SIN CLASIFICAR

Características APT

• Patrón de ataque-Escaso número de objetivos (10-100)

-Objetivos seleccionados. Ingeniería social

-Emplean exploits basados en vulnerabilidades recientes / día cero

-No es detectado por el SW antivirus / IDS / Firewall de los equipos (No dispone de firma)

-Empleo de mecanismos de cifra resistentes al análisis

-Permanece sin ser detectado por MESES. Para la explotación / actualización usa protocolos autorizados

26SIN CLASIFICAR

Capacidad de defensa ante APT

-Nivel de detección no superior al 25%-Reacción lenta en la actualización-Solo detectan lo que ven.

APT no reportado. No dispone de firma. Parecen aplicaciones legítimas

-MONITORIZACIÓN DE SISTEMADespliegue de IDS.Firewall / ProxyAnálisis de protocolos autorizados

27SIN CLASIFICAR

ATAQUES. Tendencia para año 2010

NUEVO SW DAÑINO → más peligroso y menos visible.

1. Troyanos / RootkitsSistemas windows / unixExploits Dia CERO

2. Robots de Internet (Botnet)Ataques de DDoS

3. Ataques servicios web

4. Robo de informaciónRobo de equipos

SCADA

Phishing / Spam. Correo no deseado

28SIN CLASIFICAR

Zombies-Botnets

“Botnet” es un término utilizado para una colección de robots (software) autónomos que pueden ser controlados remotamente

por diversos medios (IRC / P2P) con propósitos maliciosos

- Las máquinas "zombie" se aglutinan en las denominadas “botnets”.

- Los sistemas se comprometen utilizando diversas herramientas (gusanos, caballos de troya, puertas traseras, etc…).

- Los zombies pueden escanear su entorno propagándose a través de las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc…).

- La misión de los “botnets” es esencialmente la gestión de los “zombies” creando una infraestructura común de mando y control.

- SPAM / DDOS/ PHISING / ENVIO TROYANOS

Robot network

29SIN CLASIFICAR

Amenazas 2010. Código Dañino. BOTNET (1)

30SIN CLASIFICAR

Amenazas 2010. Código Dañino. Sistemas SCADA (1)

Supervisory Control And Data Acquisition. “Sistemas que capturan información de un proceso o planta industrial y que permitan una retroalimentación sobre un operador o sobre el propio proceso.”

Algunos casos:- Vertidos industriales- Apagones en brasil- Corte de cables submarinos

• Tendencia- “U.S. government is seeing a rise

in cyber attacks aimed at takingover control systems thatoperate critical infrastructure”

31SIN CLASIFICAR

Amenazas 2010. Código Dañino. Sistemas SCADA (2)

•Demostración de ataques DoS en controladores de lógica programable (PLCs).

•Elevado número de vulnerabilidades

•Búsqueda activa en Internet

•Interconexiones sistemas

•Falta concienciación empresas

•Ausencia buenas prácticas en distribuidores

32SIN CLASIFICAR

Amenazas 2010. Código Dañino. Sistemas SCADA (3)

STUXNET • Características principales:

- Empleo de vulnerabilidad día 0 (Infección USB). - Uso de dos certificados comprometidos- ataques dirigidos contra sistemas SCADA

SIMATIC WinCC o SIMATIC Step7 de Siemens.- Usa protocolo Web para la comunicación con los servidores

C&C• CCN-CERT ID 01/10

- Detectado Julio 2010

33SIN CLASIFICAR

Amenazas 2010. Código Dañino. Sistemas SCADA (3)

STUXNET

34SIN CLASIFICAR

• Vías de ataque

1. Inyección de código SQL2. Cross-Site Scripting (XSS)3. Rotura de autenticación 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSFR)6. Errores de configuración7. …//…

Ataques servicios Web. Tipos

+

+

--

==

35SIN CLASIFICAR

Amenazas 2010. Teléfonos móviles

- Sistemas operativos- Android (Google)- iOS (iphone)- Windows (6.5-7)- Symbiam

- Nuevas amenazas (ZeuS 2.x)- Código dañino

Llamadas entrantes y salientesMensajes SMS, Ficheros descargadosLas coordenadas GPS

36SIN CLASIFICAR

Amenazas 2010. Otras

37SIN CLASIFICAR

Amenazas 2010. Otras

38SIN CLASIFICAR

Amenazas 2011. Tendencias

1. Troyanos / Rootkits…. (APT)Sistemas windowsExploits Dia CERO

2. Robots de Internet (Botnet)Ataques de DDoS / Robo información

3. Ataques servicios web

4. Robo de información (Usuarios internos)Robo de equipos

Plataformas móviles

SCADA

Phishing / Spam. Correo no deseado

39SIN CLASIFICAR

Importancia del Factor Humano

No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los

casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por

parte de los usuarios del Sistema

Cuanto más sofisticadas son las tecnologías empleadas para proteger la información, los ataques se van a centrar más en

explotar las debilidades de la persona

40SIN CLASIFICAR

Soportes de Información

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados

Los registros temporales con datos de clientes

Claves de acceso a sitios seguros

En los discos duros de los ordenadores hay enormes cantidades

de datos ocultos para los usuarios, pero fácilmente accesibles. Entre

estos datos se encuentran archivos que ingenuamente creemos que

hemos borrado, claves de acceso, versiones descifradas de archivos

confidenciales y todo tipo de rastros sobre la actividad del equipo.

41SIN CLASIFICAR

Wikileaks

-Fuga de información por parte de usuarios autorizados

-Deficiente control accesos a información clasificada

-Insuficiente soporte legal

-Eventos más significativos05.04.2010…. vídeo del 12 de julio de 2007. Soldados estadounidenses matan al

reportero de Reuters Namir Noor-Eldeen, a su ayudante y a nueve personas más.25.07.2010… 92.000 documentos sobre la Guerra de Afganistán entre los años 2004

y 2009, los cuales les llegaron a través de WikiLeaks. 22.10.2010,… 391.831 documentos filtrados desde el Departamento de Defensa de

los Estados Unidos sobre la Guerra de Irak (2004-2009).28.11.2010, ….251.187 cables Departamento de Estado con sus embajadas (States

diplomatic cables leak, Cablegate o Secret US Embassy Cables)

42SIN CLASIFICAR

Soportes de Información

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados

Los registros temporales con datos de clientes

Claves de acceso a sitios seguros

En los discos duros de los ordenadores hay enormes cantidades

de datos ocultos para los usuarios, pero fácilmente accesibles. Entre

estos datos se encuentran archivos que ingenuamente creemos que

hemos borrado, claves de acceso, versiones descifradas de archivos

confidenciales y todo tipo de rastros sobre la actividad del equipo.

43SIN CLASIFICAR

ESTRATEGIAS EN CIBERSEGURIDAD

44SIN CLASIFICAR

• Reducción del riesgo del uso del Reino Unido del Ciberespacio actuando - Sobre la amenaza (disminuyendo su motivación y capacidad)- sobre sus vulnerabilidades y sobre el impacto de cualquier

actuación en los intereses nacionales.• Aprovechar las oportunidades en el ciberespacio mediante

- La obtención de inteligencia que apoyo las políticas nacionales

- Actuar contra los adversarios. • Mejorar el conocimiento / capacidades / procesos de decisión

- Incrementando las actividades de concienciación- Desarrollando una doctrina y sus políticas derivadas - Mejorando las capacidades propias humanas y técnicas.

Presupuesto = 550 m£

2009. REINO UNIDO OBJ. ESTRATÉGICOS:

45SIN CLASIFICAR

Colaboración CERT,s

46SIN CLASIFICAR

¿Qué estamos haciendo?. España… ENS

47SIN CLASIFICAR

Conclusiones

• Vulnerabilidades - Mejores prácticas en su tratamiento.- Interés económico de los investigadores- Vulnerabilidad dia CERO

• Código dañino - APT. Ataque dirigido - Botnet. Elevados niveles de infección. - Servicios Web.

• Aproximación a la solución- Estrategias nacionales en ciberseguridad

Fortalecer la capacidad de defensa proactivaProblema transversal a gobiernos, empresas y ciudadanos.ESQUEMA NACIONAL DE SEGURIDAD

SIN CLASIFICAR

Gracias• CÓMO CONTACTAR:

- ens@ccn-cert.cni.es

- INCIDENTESincidentes@ccn-cert.cni.es

- SAT SALIDAS INTERNETsondas@ccn-cert.cni.es

- SAT RED SARAredsara@ccn-cert.cni.es

- GENERALinfo@ccn-cert.cni.es