Analizando un delito informático
-
Upload
diego-bonini- -
Category
Science
-
view
180 -
download
0
description
Transcript of Analizando un delito informático
Machete, campaña de ciberespionaje. Nota de CIOAL publicada el 21-8-2014: “Kaspersky Lab anunció el descubrimiento de una nueva campaña de ciberespionaje con el nombre clave
de ‘Machete’, la cual se ha dirigido a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares,
embajadas y las fuerzas del orden desde hace por lo menos 4 años.
El campo principal de su operación ha sido América Latina: la mayoría de las víctimas parecenestar ubicada
en Venezuela, Ecuador y Colombia. Entre otros países afectados se encuentran Rusia, Perú, Cuba y España. El
objetivo de los atacantes es recopilar información sensible de las organizaciones comprometidas - hasta
ahora es posible que los atacantes hayan podido robar gigabytes de datos confidenciales exitosamente.
“A pesar de la simplicidad de las herramientas utilizadas en esta campaña, son muy eficaces, dado a los
resultados. Parece ser que los cibercriminales de América Latina están adoptando las prácticas de sus
colegas en otras regiones.
La campaña Machete parece haber comenzado en el 2010 y actualizada con la infraestructura actual. Los
ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware. En algunos casos, los
atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado
con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados.
Por el momento no hay indicios del uso de exploits de vulnerabilidades de día cero.
La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas
funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si
está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el
micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización, realizar fotos con la
cámara web en las máquinas infectadas.
La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python compilado en
archivos ejecutables de Windows - esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de
la codificación. Las herramientas no muestran signos de soporte multiplataforma ya que el código es
fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que
dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix.
Además de los componentes de Windows, señales de un componente móvil para Android ha sido descubierto
también.”
El tipo de ataques masivos como este, reviste una extrema dificultad en lo que hace a la seguridad
de nuestros activos TI, y fundamentalmente lo que debemos proteger: nuestra información y la
continuidad de los procesos de la organización. Es decir la confidencialidad, integridad y
disponibilidad de la información.
En nuestras políticas de gestión de riesgo y en nuestra estructura de seguridad integral no pueden
ignorarse las posibilidades de este tipo de ataques, pensados para robar información sensible, sino
también para conocer la logística general de la organización.
Es importante tener siempre actualizadas nuestras políticas de seguridad, tener información de
primera mano a cerca de las tendencias de los ciberdelincuentes de todo tipo, ya sean individuos,
que incluso pueden provocar ataques por mera diversión, o propósitos delictivos; a organizaciones
terroristas muy presentes en nuestro tiempo. Pensar que estas solo actúan en contra de los países
centrales, caso Reino Unido o EEUU, es ser poco realista. América latina no está fuera de riesgo, y
por ser quizá la región menos protegida, es un blanco fácil y no menos deseable, cuando lo que
buscan las organizaciones terroristas es desestabilizar el fino equilibrio mundial.
Se requiere como primera medida un comité de seguridad y gestión de riesgo, con funciones
proactivas que evalúen estas tendencias y sugieran e implementen las contramedidas que se
consideren necesarias. Muchas veces se habla del famoso “costo – beneficio”, al que en casos
como este yo definiría como “RIESGO – Beneficio – costo” , porque el costo parece ser grande
mientras no ocurre nada, pero me gustaría saber que costo enorme puede tener para una
organización estar una semana sin poder acceder a sus sistemas informáticos. Ni hablar si se
perdiera toda la información. No tener establecidas políticas serias de respaldo de la información
(back up) es suicida. Pero aun teniendo el back up del día anterior, me gustaría ver cuánto tiempo
se tarda en ubicar, recordar, y reprocesar lo que se puede perder de lo hecho en las últimas 24
horas. Nunca me pasó, pero imagino que puede ser tremendamente difícil, y puede demorar
mucho más de lo imaginable, y entre tanto???? Se detiene la actividad de la organización por otras
24, 48 o quizás más horas?
La definición y aplicación de políticas proactivas es indispensable.
Incorporación de técnicas forenses, reactivas, es cierto; pero son fuente indispensable para
alimentar la definición de estrategias proactivas.
Vamos a este caso:
- Personal proactivo y capacitado formando un comité de seguridad y gestión de riesgo,
información permanente de nuevas tendencias, tomada de sitios serios, como por ejemplo
el FIRST, CERT, laboratorios especializados, MIT, etc.
- BIA claro, definido, y funcional. Es muy importante que esta función se cumpla, porque si
no hay actualización permanente acerca de amenazas y soluciones, el resto no puede
mantenerse en funcionamiento coordinado con la realidad cambiante de nuestro tiempo.
- BCP Políticas claras e implementaciones certeras dentro de un BCP definido con
COHERENCIA. Y probado, esto es como los simulacros de evacuación en caso de
incendio o desastres a los que tanto nos obligan las ART. Si es necesario (*) “duplicar” un
entorno de trabajo, se lo duplica sin importar el costo ni el esfuerzo. DRP realista y
actualizado permanentemente.
(*) En función de la complejidad de la organización y la importancia de la información
almacenada.
- Concientización permanente de todo el personal. Desde el presidente de la empresa, hasta
el personal de vigilancia.
- Seguridad física, control de accesos monitoreados permanentemente. Seguimiento de los
movimientos del personal mediante dispositivos RFID o GRPS. Accesos restringidos a
todos los sitios sensibles de la instalación. Limitar actividades de ingeniería social
- Control de activos mediante dispositivos RFID. Es importante saber permanentemente
donde esta cada dispositivo, particularmente los móviles.
- Seguridad lógica. Firewalls, IDS, IPS, anti-amenazas (o virus, como gusten), consolas de
control centralizadas, en lo posible en la nube; de modo tal que se puedan monitorear of-
site (con las medidas y permisos de ingreso que se requieran). Solida política de control de
accesos, y autenticación de usuarios, con permisos de acceso muy estrictos.
- Separación de ambientes. Cuando menos los ambientes tradicionales de desarrollo,
testing, y producción. Donde el ambiente de testing debiera realizar al menos 3 pruebas
anuales simulando posibles desastres, y probando los planes de contingencia. Antes de
efectuar una prueba general.
- Análisis permanente de vulnerabilidades.
- Capacitación constante del personal del área de seguridad, de sistemas en general; y de
todo aquel que tenga acceso a una terminal, por mínimo que sea.
- En cuanto a la aplicación de técnicas de ingeniería social es importante por último
comentar que, la entrada de malware a una organización a través de medios físicos puede
incrementarse de manera considerable a raíz de nuevas tendencias en alza que se están
arraigando en las organizaciones que consisten en bien fomentar o permitir el uso de
dispositivos personales (portátiles, tablets, smartphones, etc.) en el entorno de trabajo, es
decir que los empleados se traigan sus dispositivos al trabajo y trabajen con ellos, es la
denominada tendencia BYOD (Bring Your Own Device), o bien que además de sus propios
dispositivos también aporten su propio software ,BYOT, (Bring Your Own Technology), y
además existe una variante emergente, BYOC (Bring Your Own Cloud), en estos casos los
empleados aportan su propia ‘nube’. Estas tendencias, si no son bien gestionadas pueden
suponer una importante brecha de seguridad en las organizaciones facilitando la tarea del
atacante puesto que la información privada de la empresa entra dentro de una red cada
vez más difusa y difícilmente protegible.
Describir punto por punto las medidas a tomar es difícil, porque dependen de la organización, la
criticidad de los procesos, el valor de la información y su clasificación, etc.
Veamos ahora la aplicación de algunas leyes y sus artículos:
En primera instancia aplica la ley 26388 de delitos informáticos:
Art.5 Acceso no autorizado. Que agrega el art. 153 bis en el Código Penal
(http://blogsdelagente.com/itsb/2008/7/2/ley-26-388-delito-informatico-acceso-autorizado-hacking-/)
Art. 8 Sustituye el art 157 bis del código penal.
(http://www.infoleg.gov.ar/infolegInternet/anexos/15000-19999/16546/texact.htm#19)
También la ley 25326 de protección de datos personales o Habeas Data (Ej. Art 5)
Aunque esta se refiere exclusivamente a los datos individuales de cada ciudadano, y poco dice
sobre la información general de una cia.
En casos como este, perpetrado por delincuentes “internacionales”, existe legislación internacional
regulada por el pacto de San José de Costa Rica.
En mi caso particular el análisis de las implicancias legales de los delitos informáticos perpetrados
o posibles, los consulto con un abogado especialista en derecho informático, profesor de la USAL.
Pero a decir verdad es poco lo que puedo agregar personalmente.