Post on 11-Feb-2016
description
transcript
CESAR AUGUSTO ZARATE
C4M4L30N
@C4M4L30N_CAZ
WWW.SWATSECURITYIT.COM
Definiciones BASICAS
CIBERGUERRA: Guerra informática, guerra digital o ciberguerra, en inglés cyberwar, se refiere al desplazamiento de un conflicto, en principio de carácter bélico, que toma el ciberespacio y las tecnologías de la información como escenario principal, en lugar de los campos de batalla convencionales. ...http://es.wikipedia.org/wiki/Ciberguerra
CIBERDEFENSA: Capacidad del Estado para prevenir y contrarrestar toda amenaza o incidente de naturaleza cibernética que afecte la soberanía nacional . https://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
CIBERSEGURIDAD: Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos sus ciudadanos, ante amenazas o incidentes de naturaleza cibernética.
ANTECEDENTES
ESCENARIO
MUNDIAL
ESCENARIO
MUNDIAL
COLOMBIA
En el Marco de la polémica Ley Lleras, Hacktivistas
Colombianos apoyados por la comunidad de Anonymus
lanzaron lo que se llamo la Operación Colombia, fue un
ataque sistemático a 30 sitios web del estado
Colombiano el día 20 de julio de 2013, se le denomino:
“La Operación Colombia”
Aunque en el 2011 se había trazado la estrategia de ciberseguridad del
estado colombiano por medio del documento COMPES 3701, a partir de
este ataque se refuerza la estrategia de ciberseguridad y defensa y se
comienza a legislar sobre este aspecto.
13
Campo de batalla: Sitios Web del Gobierno Colombiano
Causa: Independencia de Colombia
Batalla: Ciber ataque a gran escala, contra 30 sitios del gobierno
Colombiano el día 20 de julio de 2013.
Resultado: La mayoría de los sitios fueron apagados o modificados en su
apariencia (defacement).
Operación Colombia
14
Operación Colombia
Ataques En Capa De Aplicación WEB:
• Directorio Traversal – ataque de aplicaciones web para obtener acceso a
archivos protegidos con contraseña, archivos que pueden ser más tarde
craqueados fuera de línea.
• Ataques de Fuerza Bruta en el pcAnywhere service – buscar cuentas
protegidas por contraseña débiles permite a los atacantes remotos ganar
el acceso a los servidores de las víctimas.
• Ataques de SQL Injection : - Ataques a aplicaciones web para obtener
acceso al servidor remoto.
• Escaneo de vulnerabilidades a las aplicaciones WEB.
DDoS en capa de aplicación:
• Ataques de Aplicación: hemos visto principalmente ataques HTTP de
inundación
DDoS en capa de red:
• SYN floods, UDP floods, ICMP floods
• Tráfico iregular (invalid TCP flags, source port zero, invalid L3/L4 header)
• TCP port scans
15
Operación Colombia Como Se Vivió El Ataque?
Operación Colombia
Dinámica de la
Ciberguerra
http://www.digitalattackmap.com/
http://map.ipviking.com/
INICIOS DE LA
CIBERGUERRA
THE BIG BROTHER Echeleon es considerada la mayor red de
espionaje y análisis para interceptar
comunicaciones electrónicas de la historia
(Inteligencia de señales, en inglés: Signals
intelligence, SIGINT)
Controlada inicialmente por la comunidad
UKUSA (USA, UK, Canada, Australia y Nueva
Zelanda). Hoy en dia esta RED es manejada por
USA, UK, ISRAEL.
ECHELON puede capturar comunicaciones por
radio y satélite, llamadas
de teléfono, faxes y correos electrónicos en
casi todo el mundo e incluye análisis
automático y clasificación de las
interceptaciones. Se estima que ECHELON
intercepta más de tres mil millones de
comunicaciones cada día.
PRISM es un programa del Gobierno estadounidense, que puede ser considerado
como parte de la red ECHELON. Es divulgada su existencia por los medios de
comunicación en junio de 2013, y se caracteriza por capturar los datos de compañías
como Google, Apple, Microsoft o Facebook, aunque todas ellas niegan su
participación activa
Evolución
Echeleon
Ciberconflictos
Activos
ATAQUE DE VIRUS GAUSS OBJETIVO: robar datos confidenciales, como
credenciales bancarias online, contraseñas del
navegador y configuraciones del sistema.
Gauss recoge datos sobre las víctimas con la intención de enviarlo a los atacantes, los datos que contienen también incluye información sobre las interfaces de red, características de BIOS y detalles de la unidad del computador. Es infecta dispositivos USB con el robo de datos de componentes que explotar el (CVE-2010-2568) la vulnerabilidad LNK, el mismo utilizado por Stuxnet y Flame.
Stuxnet Predecesor De Gauss
Se asume que fue creado a medias
por el gobierno de los USA e Israel,
para conseguir acabar con el
programa de enriquecimiento
de Uranio de Irán
El gusano Stuxnet se difundía
utilizando varios 0days utilizando los
pendrives como medio de infección,
ya que los equipos de las centrales
nucleares estaban aislados
de Internet.
Una vez infectado uno de los equipos
de la red, STUXNET manipulaba
valores en los sensores que
alimentaban el sistema SCADA,
haciendo creer a los ingenieros que
algo iba mal en la central, de tal forma
que al final lanzaron las medidas de
protección, anulando su
funcionamiento.
Estructura Modular De GAUSS
SHAMOON
Con el nombre de "W32.Disttrack" o "W32.EraseMBR" dentro del sistema, el virus posee un archivo
ejecutable que contiene la palabra "wiper" así como la palabra "ArabianGulf".
Las palabras recuerdan al software malintencionado conocido como Wiper que llevó al
descubrimiento de Flame, otro virus desarrollado por los gobiernos de Estados Unidos e Israel con
el fin de atacar y terminar con el programa nuclear de Irán.
"Este es un software malintencionado que corrompe los archivos de la computadora que ha sido
infectada y sobrescribe el Registro Maestro de Inicio (MBR) con el fin de inutilizar la computadora
infectada," explicó la firma de seguridad informática Symantec.
El virus consiste en tres componentes:
1.- Dropper - el componente principal y fuente de la infección original.
2.-Wiper - este módulo es responsable por la funcionalidad de destrucción de la amenaza.
3.-Reporter - este módulo es responsable de reportar la información sobre la infección de vuelta al
atacante.
而所有这些... 那一抹中国口哨?
Se estima que el Tercer Departamento tiene una plantilla de 130.000 personas Su
misión principal dentro de una estrategia de ciberguerra es la de proteger todos los
sistemas de información militares y gubernamentales, por lo que se les engloba
dentro de la parte de activos dedicados a la CND (Computer Network Defense) [15].
también está realizando labores de recopilación de inteligencia (CNE, Computer
Network Exploitation) y se le atribuyen algunas capacidades de CNA (Computer
Network Attack).
La Unidad 61398, mantiene en su base de operaciones el grupo “Comment Crew” que
es un grupo de Hackers mas grandes de china, según informe de la firma de seguridad
privada Mandiant; según este Informe el código de la unidad de Hackers es APT-1
LA UNIDAD 61398
La unidad APT-1 es responsable de alrededor de 141 Ataques a entidades en todo el
Mundo y según Mandiant la Unidad APT-1 cuenta con “apoyo directo del Gobierno”
chino para perpetrar una “amplia campaña de espionaje cibernético a largo plazo”.
El Ejército Azul China tiene un nuevo ejército,
compuesto por 30
hombres preparados para la
guerra…cibernética. (Hackers de
Elite).
El objetivo con este equipo es
capacitar y mejorar la seguridad de
las fuerzas militares de China, para
proteger el país y al PLA (Ejército
Popular de Liberación) contra
ataques del ciberespacio. Esta
información fue indicada por el
portavoz del Ministerio de Defensa
de China, Geng Yansheng, el cual
mencionaba que este equipo
contará con un presupuesto de
USD$1.54 Millones de dólares
para realizar sus labores
Recursos “Civiles” China ha desarrollado en relativamente pocos años una gran capacidad científica y tecnológica,
que se traduce en una buena cantidad de Universidades y Centros de I+D.
Un punto a destacar sería el desarrollo de Kylin (el sistema operativo empleado en todos los
sistemas de alta seguridad chinos, sobre todo del PLA y el MSS) por parte de la NUDT (National
University of Defense Technology ), lo que indica en gran medida la relación existente entre la
universidad y el gobierno
Las empresas de base tecnológica, sobre todo de equipamiento de telecomunicaciones, están
fuertemente relacionadas con el gobierno chino en base a subvenciones, contratos
gubernamentales y proyectos de investigación.
Huawei
ZTE (Zhongxing Telecom Technology Corp):Dentro de EE.UU. ZTE ha sufrido las mismas
sospechas por parte del gobierno, que han sido acentuadas desde que se descubrió una
backdoor (puerta trasera) en dos de sus modelos de terminal móvil más vendidos (Score y
Skate)
Datang Telecommunications : especializándose en cableado y equipamiento de redes ópticas
de telecomunicaciones y de grandes redes móviles.
Grupos del underground de la seguridad informática: Los grupos del underground de la
seguridad informática en China llevan un extenso periodo de tiempo operando dentro y fuera
del país, teniendo su primera aparición documentada en los ataques a la web de la Casa Blanca a
raíz del bombardeo erróneo de la embajada china en Belgrado durante la guerra de los Balcanes.
Honker Union : Ataque al sitio de Disidente Tibetano, y Ataques a Sitios USA porel incidente
Belgrado.
NCPH (Network Crack Program Hacker) -. GinWui Rootkit (Mayo-2006) DoD USA, Exploits
MsO, Spear Phishing
LuckyCat: Ataques a Japon e India a:
○ Aeroespacio, Energia, Ingenieria, Navegacion, Actividades Militares, Activismo Tibetano
Modelo de ataque APT-1
Operaciones Realizadas Operación Titan Rain (2003)
Operación Ghost Net (2008)
Operación Night Dragon (2009)
Operación Aurora (2010)
Operación Shadows in the cloud (2010)
Ataque a RSA (2011)
Ataque a Lockheed Martin (2011)
Operación Shady Rat (2011)
Operación Byzantine Hades (2011): se realizó entre 2003 y 2008
TITAN RAIN (2003)
GHOSNET
NIGHT DRAGON
AURORA
SHADOWS IN THE CLOUD
RSA - 2011
solo se ha empezado a obtener información de la misma hace relativamente
poco.
Teniendo como objetivos sistemas gubernamentales estadounidenses,
franceses y alemanes, mantiene el mismo esquema de spearphishing +
vulnerabilidad + RAT + exfiltración de información.
BYZANTINE HADES
VARIOS Corea del Norte crea una
unidad elite de 3000 Hackers
Corea del Sur impulsa un programa de Ciber guerra de elite y recluta sus unidades en las Universidades, incentivando con concursos y dinero.
Irán Prepara estudiantes de secundaria para interceptar y hackear los Drones.
USA mantiene una unidad elite por 15 años que se llama TAO bajo tutela de la NSA para atacar específicamente a China.
CONCLUSIONES El ciberespacio es un nuevo territorio,
con sus características particulares y
sus posibilidades. Como cualquier
nuevo territorio, existen partes
interesadas en posicionarse de forma
prominente y en reclamar una buena
parte del mismo para sí mismos.
El peligro del uso de la ciberguerra y el
ciberespionaje tiene dos vertientes: el
primero, el uso de Ciber-Armas que
puedan quedar fuera del control del
propietario y causar graves daños
colaterales, de una forma similar a un
misil que se desvía y termina cayendo
sobre objetivos civiles.
El segundo peligro principal es la
negabilidad del uso de las mismas, que
puede intensificar las tensiones
existentes entre naciones y llegar a
provocar una escalada del conflicto que
termine en daños a sistemas civiles o
en un posible conflicto armado.
FUENTES
http://www.elladodelmal.com/2013/01/incidentes-de-ciberguerra-y.html
https://www.dnp.gov.co/LinkClick.aspx?fileticket=-
lf5n8mSOuM%3D&tabid=1260
http://www.slideshare.net/ansanz/capacidades-de-china-para-la-
ciberguerra
http://latam.kaspersky.com/sobre-kaspersky/centro-de-
prensa/comunicados-de-prensa/kaspersky-lab-identifica-la-
operaci%C3%B3n-%E2%80%9Coctubr
http://intelreport.mandiant.com/
http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica
http://www.muyinteresante.es/tecnologia/articulo/iesto-es-la-ciberguerra
http://www.isaca.org/Education/Conferences/Documents/Latin-CACS-
2013-Presentations/133.pdf