Professional Documents
Culture Documents
Informtica
Eduardo Carozo
Gerente de Seguridad de la Informacin Director Ejecutivo del CSIRT ANTEL
www.antel.com.uy
Agenda
Internet Botnets
Internet
Amenazas en Internet
El tipo de amenazas que encontramos en Internet est cambiando de foco Antes
Prevalencia de virus y gusanos
Slammer, CodeRed
Ahora
Virus, gusanos, troyanos y otros personajes pero operando como herramientas para obtener ganancias
Se ha creado una economa subterrnea
Pero adems
La propia naturaleza del software
Hacer software no es fcil, se parece mucho ms a un arte que a una ciencia La seguridad en un proyecto es algo que en genral se considera slo al final del mismo
Malware
Taxonoma del malware
Medios de propagacin
Virus Gusanos Troyanos
Funcionalidad
Adware Dialers Backdoors Proxies Rootkits Control Remoto
Troyanos
Ofrecer un software que dice hacer algo til pero que en realidad esconde malware
Un notepad.exe de 1050 kilobytes de largo, por ejemplo Adwares, dialers
Segunda etapa
Diseminacin de informacin
a ciegas, en general enviando trozos de documentos a direcciones de correo electrnico
Tercera etapa
Obtencin de ganancias econmicas
Phishing, DDoS
Integracin
En un paralelismo con la industria, estamos viendo como los atacantes integran diferentes soluciones
Backdoors + Rootkits + vector de propagacin modulares
Botnets
Una botnet est formada por un conjunto de sistemas comprometidos y bajo el control de un operador central
robot + network
En cada sistema comprometido hay instalado alguna forma de malware que permite al operador controlarlo
Equilibrio
La red no crece activamente pero si hay una permanente lucha entre malwares y hay bajas y altas en la misma
Utilizacin
Ingresa al mercado para su uso
Keylogging
Guardar las teclas pulsadas por el usuario y enviar esa informacin al bot herder
Click Fraud
Generacin de clicks fraudulentos a herramientas de promocin en Internet (Google, Yahoo)
La Economa Subterrnea
Todo esto se trata de algo muy elemental: se trata de alimentar la economa subterrnea Las botnets son un item adecuado para ser compradas, vendidas y alquiladas
Tienen flexibilidad para hacer diferentes cosas Se pueden controlar fcilmente
DDoS
DDoS: Distributed Denial of Service o ataques de denegacin de servicio distribuidos
Nombre por el cual se conocen a ataques que provienen de una nube difusa de direcciones IP con destino a un blanco nico Generacin de suficiente trfico como para saturar enlaces WAN y servidores
Phishing
Escaneo de vulnerabilidades de Equipos en Internet Captura de un servidor Web, preferentemente con IP fija Confeccin de pginas web dentro de esa URL, en el que se solicitan datos personales, se intenta el ingreso al sitio original, y en caso de acceder se deriva al cliente al mismo Creacin de una casilla de correo para colectar dichos datos, as como la respuesta afirmativa/negativa de la validez de los datos contra el sitio original Creacin de mensajes engaosos Envo de Spam, preferentemente con una Botnet
Phishing
Escaneo de vulnerabilidades de Equipos en Internet Captura de un servidor Web, preferentemente con IP fija Confeccin de pginas web dentro de esa URL, en el que se solicitan datos personales, se intenta el ingreso al sitio original, y en caso de acceder se deriva al cliente al mismo
Agenda
Internet Botnets
DDoS Phishing
Por qu aprender del enemigo? Herramientas para lograrlo Algunos resultados obtenidos localmente Proyectos de colaboracin internacional
El desarrollo de firmas para sistemas no abiertos depende del ciclo de desarrollo de los proveedores
Que se denuncien los problemas Que se desarrollen y se distribuyan las firmas
Darknets
Honeypots
En trminos muy generales:
Un honeypot es un recurso de red cuyo valor mismo es el de ser atacado o vulnerado. Los beneficios se obtienen mediante mantener un cuidadoso monitoreo del mismo.
En resumen
Ofrecer un blanco interesante Observarlo
Sacar conclusiones
Honeynets
Un honeypot individual tiene visibilidad limitada sobre un rango (usualmente pequeo) de direcciones IP Honeynets
Instalar honeypots de la forma mas distribuida posible Colectar informacin de los mismos Correlar eventos y comparar informacin
POP3
TELNET HTTP
Apache
IIS
Open proxies
HTTP / Squid
SOCKS v4 /v5
Spampots
Idea similar a la del honeypot, pero aplicada al problema del spam (correo electrnico no solicitado.) Caractersticas deseadas:
Emular los servicios buscados por los spammers:
SMTP open relay Proxies abiertos
Almacenar todo el correo electrnico que pasa por l Tratar de engaar lo mas posible a los spammers
Buscar superar las pruebas de verificacin que ellos realizan
Spampots (2)
Clasificacin del trfico de correo:
Todo el trfico de correo que pasa a travs del spampot es correo no solicitado De ninguna forma trfico legtimo circula por l
De esta forma la propia naturaleza del spampot resuelve uno de los problemas mas difciles que presenta la lucha contra el Spam
Resultados (1)
Spampot, en sus primeros diez das de operacin
2.362.213 de correos spam individuales 12.620.655 de destinatarios individuales identificados
Resultados (2)
Spampot
Darknets (2)
Darknet:
Destinar una pequea parte del espacio en reserva, distribuido inteligentemente y escuchar el trfico que llega a l No responder nada
No ICMP unreachables o TTL exceeded por ejemplo
Colectar Analizar
Piloto Darknet
Configuracin muy mnima:
Un nico sensor Una nica direccin IP monitorizada
Las direcciones IP de origen en cambio tienen una cola mucho mas pesada
Las 30 mas activas apenas el 8.9% de todos los eventos
Resultados (4)
Darknet
Resultados (5)
Darknet
Qu es un equipo de respuesta?
Un conjunto de tcnicos entrenados para resolver incidentes de seguridad informtica masivos Deben disponer de conocimientos actualizados de seguridad y redes, y sobre todo contactos con la comunidad que detecta y responde a incidentes Deben lograr un nivel de legitimidad tal en su comunidad, como para que las organizaciones o personas afectadas confen a dicho Team informacin confidencial en el peor momento!
Qu hace un CERT/CSIRT?
Como mnimo debe coordinar incidentes de seguridad informticos, cuidando:
Colaborar eficaz y eficientemente en la recuperacin de la organizacin vctima lo ms rpido posible Preservar las trazas forenses del ataque, para comprender lo que sucedi
Manejar toda informacin relativa a los eventos con absoluta confidencialidad, como forma de proteger a la organizacin de nuevos ataques, etc.
Otras actividades como capacitacin, investigacin, forensia, consultora en seguridad, etc., son habituales.
En Uruguay
CERT.uy; Centro de respuesta nacional, dependiente de la AGESIC www.cert.uy Csirt-ANTEL; Gestin de Incidentes de Seguridad Informtica y Telecomunicaciones; www.csirt-antel.com.uy Se est en vas de inaugurar el CERT del Ministerio de Defensa Nacional
Referencias (1)
[1] Botnets as a Vehicle for Online Crime , CERT-CC, Nicholas Ianelli, Aaron Hackworth [2] Honeypots, Lance Spitzner [3] Simulating Networks with Honeyd, Roshen Chandran, Sangita Pakala [4] Sitio CERT.br: http://www.cert.br [5] Sitio FIRST: http://www.first.org [6] Sitio AusCERT: http://www.auscert.org.au
Referencias (2)
[8] Defeating Honeynets, Maximillian Dornseif, Thorsten Holz,Christian N.Klein; BlackHat USA 2004 [9] Hands On Honeypot Technologies, Maximillian Dornseif, Thorsten Holz; BlackHat USA 2005 [10] Know Your Enemy: Tracking Botnets: Thorsten Holz, Paul Bocher, Markus Kotter, Georg Wicherski [11] A Framework for Deception: Fred Cohen, Dave Lambert y otros
a eduardo.carozoacert.uy
eduardo.carozo csirt-antel.com
www.antel.com.uy