1 25 Table of Contents 27 108

Seguritecnia 396

26 SEGURITECNIA Abril 2013 Ciberseguridad e Infraestructuras Críticas potentes. Sin ir más lejos, Red October fue desmantelado por Kaspersky, aun- que ni siquiera ellos saben dónde se encuentran los servidores de control actuales”, señaló el experto. El siguiente paso en este ‘día cero’ es la alerta temprana, que conlleva la pu- blicación de una notificación directa tras haber identificado máquinas afec- tadas. Posteriormente, entran en juego las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) en una operación deno- minada sinkhole : “Quitamos el domi- nio a los ‘malos’ sobre los servidores de comando y control (C&C) para dár- selo a los buenos -Grupo de Delitos Telemáticos (GDT) de la Guardia Civil y Unidad de Investigación Tecnológica (UIT) del Cuerpo Nacional de Policía (CNP)-”, manifestó Berciano. De sus palabras se pudo inferir que no siempre la justicia actúa con lentitud: “A veces, hemos resuelto incidencias en un solo día”. Después, una vez identifi- cados los clientes afectados, se imple- menta código para habilitar la monitori- zación de cada uno de ellos. Día 1: Monitorización El trabajo del día siguiente en el CERT va encaminado a la monitorización, identificación y notificación, siempre y cuando la justicia haya otorgado su visto bueno sobre la operación. “Co- menzamos a monitorizar los servido- res de las víctimas y les hacemos lle- gar la información clave. Para ello, los servicios Whois son fundamentales, ya que permiten determinar quién es el propietario de un dominio o de una dirección IP”, aclaró Javier Berciano. Asimismo, es muy impor tante con- tar con una relación f luida con otros CERT, con proveedores de servicios de Internet (ISP) y con empresas privadas. Una vez reportada la amenaza, se in- forma a los operadores afectados por correo electrónico, donde se les co- munica esa información clave: detalles técnicos del incidente, las reglas para la detección -con Snort (IDS más po- pular de software libre)- y los Indicators of Compromise (IoC). Según comentó Javier Berciano, en el “día 1” y en los posteriores, los es- fuerzos de contención de la amenaza pasan por aislar los sistemas (se da por hecho la realización de una copia de seguridad de los datos que albergan servidores y equipos) y extraer eviden- cias (sin olvidar garantizar su validez por si fueran necesarias en un proceso judicial). Es necesario continuar anali- zando el tráfico de red y desplegando medidas de mitigación: “Detección y filtrado en Intrusion Prevention System (IPS), en proxies y en servidores Domain Name System (DNS)”. En esta fase de la gestión de incidentes, Berciano añadió detalles sobre la relevancia del análi- sis forense: “Es necesario proporcionar guías y procedimientos y, si fuera ne- cesario, más apoyo desde el CERT”. Día 2: Nuevos C&C Una vez controlado el incidente, Javier Berciano explicó los siguientes pasos a seguir: “Se trabaja para detectar nue- vos servidores C&C que pueden utilizar el malware ; se actualiza la alerta tem- prana y se reporta a los afectados para actualizar las medidas de mitigación”. En este sentido, el portavoz de Inteco incidió en la necesidad de establecer una adecuada coordinación global con otros CERT, así como con otras policías internacionales, que podrían colaborar en la puesta en marcha de un nuevo sinkhole si fuese necesario bloquear la reactivación del ataque. Inteco ha suscrito acuerdos con las asociaciones de CERT más importan- tes del mundo, como FIRST y Trusted Introducer y mantiene una excelente relación con el equipo de coordina- ción CERT de la Universidad Carnegie Mellon (foro de CERT con competen- cias nacionales) y con la propia Agen- cia Europea de Seguridad de la Infor- mación y Redes (ENISA). Para finalizar su ponencia, Berciano destacó el pa- pel de los proveedores de Seguridad, cada vez más involucrados en tareas de cooperación, como Microsof t o Google, que aportan información de- terminante sobre máquinas infecta- das, gracias al rastreo continuo que realizan sobre la Red. “La cooperación es necesaria, pues con este problema solos no podemos hacer nada”, con- cluyó. S MODELO DE GESTIÓN DE INCIDENTES EN IC Y CASO PRÁCTICO Javier Berciano, coordinador de Servicios Reactivos del CERT del Instituto Nacional de Tecnologías de la Comunicación (Inteco)

RkJQdWJsaXNoZXIy MTI4MzQz