domingo, 18 de octubre de 2015

10 consejos de seguridad ante un ataque a tu dispositivo móvil

Ante todo decir que la siguiente relación no están todas las medidas y que muchas de las mismas pueden y deben ser implementadas antes de que el ataque se produzca.

Cada caso conlleva unas medidas específicas según los factores propios del mismo pero es evidente que debemos dar una serie de consejos elementales y sencillos de realizar que sean válidos para la mayoría de situaciones y para la globalidad de los usuarios de tecnología:

1)     Analizar el incidente con calma

Si se ha producido el ataque y nos han comprometido nuestra información mantén la calma, muchas veces esto no supone ninguna amenaza, hay que hacer un estudio de este compromiso para saber realmente el alcance del mismo. Si piensa que no es capaz de llevar este análisis con éxito derive al mismo a un profesional de su confianza, él le asesorará de si además de asegurar el dispositivo debe realizar alguna acción legal contra los autores del mismo y como tratar y adquirir las evidencias de los hechos para no contaminarlas en ese proceso.

2)     Pasar a un estado seguro

Cualquier incidente que hayamos sido víctimas o sospecha de que se ha producido nos obliga a que debemos sustituir todas nuestras credenciales (contraseñas y medidas de seguridad) a unas nuevas y más seguras.

3)     Revisar  información sobre transacciones

Debemos analizar nuestros modos de pagos para revisar los estados de las cuentas, direcciones de envíos, cuentas vinculadas o cualquier cambio realizado en las mismas. Revisar los informes de las tarjetas de crédito para detectar cualquier uso inapropiado de las mismas, en caso de detectarlo cancelarla inmediatamente y cambiarla por otra no comprometida.

4)     Cuentas vinculadas

Las cuentas vinculadas, números de teléfono asociados, preguntas de seguridad suelen ser cambiadas para poder tener una forma en el futuro de hacerse con el servicio, es importante el revisar y cambiar las mismas en caso de que las asociadas puedan estar bajo el control de un tercero.

5)     Desautorizar las aplicaciones

Debemos desautorizar todas las aplicaciones conectadas a aquellas que estén conectadas a alguna cuenta de correo electrónico o cuentas de Red Social como Twitter o Facebook comprometida. Luego las volveremos a conectar cuando recuperemos las mismas y sepamos que las asociaciones vuelven a estar seguras.

6)     Utilizar la seguridad de doble verificación

Activar las opciones de dos factores de autenticación en todas las cuentas y servicios que lo admitan.

7)     Recuperar las cuentas

Aquellas cuentas que hayan sido secuestradas diríjase a los administradores de las mismas para seguir los protocolos de recuperación, los servicios populares y mayoritarios como Google, Facebook, Apple, Microsoft, Twitter, Yahoo!, etc. tienen pasos detallados y guías para su recuperación.

8)     Actualizar el Sistema Operativo, "firmware" y aplicaciones del dispositivo móvil

La mayoría de los ataques se basan en vulnerabilidades conocidas y muchas de ellas ya corregidas en las últimas actualizaciones de software. Es importante estar al día en las actualizaciones para prevenir la explotación de esas vulnerabilidades.

9)     Analiza la seguridad de tu dispositivo

Debemos concienciarnos a que aunque la utilización de un Sistema antimalware no es garantía absoluta de Seguridad pero su utilización y periódicos análisis de seguridad nos mitigarán el riesgo a las amenazas que los mismos protegen y que es un porcentaje muy alto, pero muy alto, de la totalidad de las mismas. Es conveniente integrar en el dispositivo una solución integral antimalware de una firma de confianza y periódicamente combinar con escaneos de seguridad de otras firmas o chequeos complementarios.

10)  Mantenerse informado y divulgar información


Si utiliza un dispositivo y/o servicio tecnológico debe obligarse a mantenerse informado sobre la seguridad del mismo para constantemente implementar en sus hábitos las medidas de seguridad adecuadas. También es importante que difunda sus conocimientos en seguridad con sus familiares y amigos para prevenirlos de situaciones de riesgo para sus datos.

jueves, 16 de julio de 2015

Mapas de Ciber-Ataques



El propósito de este post es agrupar en un solo lugar una colección de soluciones de visualizar la situación en tiempo real o próximamente cercano de las actividades cibercriminales en la Red.


Enumeraré en el mismo las distintas URL’s donde podemos encontrar dicha información a fecha de hoy julio de 2015 con un pequeño sumario de la información que recoge:

1.         Check Point


Entre las estadísticas clave incluidas a diario en el Mapa ThreatCloud se hallan:

  • Los 10 principales países de origen de los ciberataques
  • Los 10 principales países de destino de los ciberataques
  • Tipologías de ataque (Comunicación de bots, acceso a fuentes maliciosas, transferencia de archivos maliciosos, spam)
  • Total de ataques diarios
  • Datos específicos de cada país donde se muestran los promedios de infección y tipos de ciberataques más comunes por semanas y meses.



2.         Norse


Cada segundo, los nórdicos recogen y analizan en tiempo real la información sobre amenazas desde la Red profunda en cientos de ubicaciones en más de 40 países. Los ataques que se muestran se basan en un pequeño subconjunto de los flujos en vivo contra la infraestructura nórdica de honeypot, que representan los ataques cibernéticos de todo el mundo reales por ciberdelincuente. A primera vista, uno puede ver que los países son agresores u objetivos en el momento, utilizando el tipo de ataques (servicios-puertos). Al pasar por encima de los ORÍGENES DE ATAQUE, OBJETIVOS DE ATAQUE, o tipos de ataque destacará sólo los ataques procedentes de ese país o sobre ese servicio puertos respectivamente. Al pasar por encima de cualquier burbuja en el mapa, se destacarán sólo los ataques de esa ubicación y tipo.



3.         Deutsche Telekom (Sicherheitstacho.eu)


Portal que proporciona visualización en tiempo real de los ciberataques detectados por la red de sensores de Deutsche Telekom situados alrededor del mundo. El portal ofrece una visión de la actividad de ciberataques con datos recogidos por 97 sensores basados en técnicas de honeypot. Los sensores actúan como ‘señuelos’ para atraer ataques automatizados dirigidos a explotar las vulnerabilidades de los servicios de red, websites, smartphones y otros tipos de sistemas. Los incidentes detectados se muestran en tiempo real en un mapa interactivo con información sobre su naturaleza, país de origen y servicios objetivo.



4.         Kaspersky


Los mapas de kaspersky se basan en los siguientes datos:

  • On Access Scan
  • On Demand Scan
  • Web Anti-Virus
  • Mail Anti-Virus
  • Intrusion Detection Systems
  • Vulnerability Scan





5.         FireEye


"FireEye Cyber Threat Map" se basa en un subconjunto de datos de ataque real, que está optimizado para una mejor presentación visual. Los datos representados en el mapa es la comunicación de software malicioso con los servidores C2C, donde los "attackers" representan la ubicación de los servidores de C2C  y "tarjets" representan los objetivos.


6.         Digital Attack Map


Es una visualización de datos en vivo de los ataques DDoS en todo el mundo, construido a través de una colaboración entre Google Ideas y Arbor Networks. La herramienta muestra los datos de tráfico de ataque anónimos para que los usuarios exploren las tendencias históricas y tengan informes de interrupciones que suceden en un día determinado.


7.         AnubisNetworks Globe


AnubisNetworks ha construido un ecosistema "Threat Intelligence" sirviendo la propia inteligencia (Cyberfeed), y los motores que utilizan para el procesamiento en tiempo real y la salida de eventos (Streamforce).


8.         Akamai


Akamai monitorea las condiciones globales de Internet durante todo el día. Con estos datos y en tiempo real se identifican las regiones del mundo con el mayor tráfico de ataque web, ciudades con las conexiones más lentas web (latencia) y áreas geográficas con el mayor tráfico web (densidad de tráfico).


9.         State of the Internet (Akamai)


Actividad de ataques DDoS en todo el mundo casi en tiempo real, incluyendo las fuentes globales, tipos, volumen y objetivos. Opiniones más recientes 5000 ataques DDoS mitigados por Akamai. Cada fuente de ataque DDoS puede mandar cientos o miles de robots de DDoS.


10.     Kaspersky Lab’s Targeted Cyberattack Logbook


Todos los días de Kaspersky Lab procesa automáticamente 325.000 nuevos archivos maliciosos. Sólo el uno por ciento de éstos necesitan el trabajo manual de un experto en seguridad, y sólo una pequeña fracción de ese 1% se destina a la primera categoría de la empresa "Global Research and Analysis Team"(GReAT). Esas pocas muestras elegidas pertenecen a las más raras, nuevas APT más amenazantes (amenazas persistentes avanzadas. Kaspersky Lab’s Targeted Cyberattack Logbook narra todos estas maliciosas cibercampañas innovadoras que han sido investigadas por GReAT.





11.     TrendMicro



Trend Micro monitorea continuamente las actividades de red maliciosos para identificar-mando y control servidores (C & C) y ayudar a aumentar la protección contra los ataques de botnets. El mapa en tiempo real indica la ubicación de los servidores C&C y las computadoras víctimas que controlan, que se han descubierto en las seis horas previas.


12.     Shadow Server


Estos mapas son el resultado de la conversión de todas las direcciones IP del agresor, el C&C y el objetivo del ataque DDoS y la colocación de esos puntos en un mapa. Cuando más de un ataque o de destino se encuentra dentro de una cierta distancia geográfica y de píxeles en el mapa, el tamaño del círculo que representa ese punto se ha aumenta de tamaño para representar proporcionalmente la agresividad de un ataque.



13.     F-Secure


F-Secure En base a sus estudios y estadísticas de sus productos y servicios de Seguridad Informática, tiene dos sitios Webs donde se puede seguir las amenazas y ataques de las últimas 24 horas en el Mundo.



14.     Switch on Freedom (F-Secure)



15.     OpenDNS Security Labs


OpenDNS Security Labs aprovecha la Red Global de OpenDNS, red de seguridad más grande del mundo, que cuenta con el mejor tiempo de actividad de la industria, y geográficamente distribuidos centros de datos que sirven a 50 millones de usuarios activos al día en 196 países.


16.     Atlas


Lo que diferencia  Arbor Networks de otros es cómo aprovechan su omnipresente huella de proveedor de servicios.  ATLAS es un innovador sistema de análisis de amenazas y vigilancia global.

  • Global Threat Map: Real-time visibility into globally propagating threats
  • Threat Briefs: Summarizing the most significant security events that have taken place over the past 24 hours
  • Top Threat Sources: Multi-dimensional visualization of originating attack activity
  • Threat Index: Summarizing Internet malicious activity by offering detailed threat ratings
  • Top Internet Attacks: 24-hour snapshot of the most prevalent exploits being used to launch attacks globally
  • Vulnerability Risk Index: Determines the most dangerous vulnerabilities being exploited on the Internet today





17.     Honeynet Project


Honeynet ha creado un mapa del mundo que traza las ubicaciones de los ataques cibernéticos al golpear en tiempo realAl conectar al sitio aparecerá un "honeypot" de color amarillo, lo que representa un ordenador o banco de computadoras deliberadamente vulnerables a ataques de seguridad con el propósito de la captura o el seguimiento de este tipo de eventos. Unos segundos más tarde, ataques (strikes) rojos comenzarán a aparecer en el mapa; esto significa que el honeypot es la localización de los ataques cibernéticos de malware generado en todo el mundo. Lo que estamos viendo son los ataques reales, y les estamos viendo en tiempo real. Como ves, aparecerán más honeypots y más ataques.


18.     Global Security Map


Muestra los puntos calientes globales en busca de malware, phising, spam y otras actividades maliciosas. Este mapa es el resultado de un proyecto CyberDefcon ofreciendo la siguiente información:
  • SPAM
  • MALWARE
  • BADWARE
  • BOTNETS
  • PHISHING
  • CYBERCRIME HUBS
  • CURRENT EVENTS



19.     Securitywizardry


Este sitio web ha sido creado y está patrocinado por la Red Informática de Defensa Ltd (CND Ltd), una consultora de seguridad de la información en el Reino Unido y la Agencia de Empleo.


20.     Team Cymru


El mapa muestra valor de un día de actividad maliciosa, trazada sobre un mapa del mundo. Tenga en cuenta que las técnicas de geolocalización IP no son perfectas, por lo que estos lugares son sólo aproximaciones. Además, las personas reales detrás de la actividad maliciosa representada podrían estar lejos de cualquiera de los lugares que se muestran controlando  estos sistemas comprometidos de forma remota.

21.     Nothink


Ancho de banda bajo servidor de resolución abierta para observar los ataques de amplificación DNS automáticamente, proporcionando direcciones IP de destino. Advertencia: la tabla contiene falsos positivos y los dominios legítimos (por ejemplo google.com, openresolverproject.org etc.).



domingo, 2 de noviembre de 2014

Antiforensics y la Alquimia de los bits

El día 01 de noviembre de 2014 presente en la No cON Name una charla/taller sobre técnicas antiforensics.

El fin perseguido era demostrar que no solo es suficiente con tener conocimientos de las técnicas, herramientas y utilizar una metodología sino que se precisa averiguar las transformaciones que se han podido introducir y/o combinar además del perfil del posible autor para poder solucionar un caso.

Introducirnos a una funcionalidad como los “Alternate Data Stream” y ver que su uso puede ser explotado por la ciberdelincuencia para ocultar información o incluso Malware.


Demostrar que al llevar a cabo un análisis forense no podemos darlo como bueno con los resultados encontrados y que siempre deberemos adecuar el estudio a las características de los factores intervinientes no solo materiales sino y sobre todo los humanos. 

Las personas implicadas en el incidente sus motivaciones y situaciones particulares obligaran al perito a profundizar en su raciocinio en búsqueda del esclarecimiento del caso.

También ver que no hace falta muchos conocimientos técnicos ni tener que elaborar sofisticadas herramientas con código altamente especializado para poder crear información donde los investigadores no suelen mirar, como con la propia herramienta de un fabricante para actualizar el firmware de su producto es suficiente para utilizarse para el fin descrito.

Se termina analizando un caso en que se sospecha que contiene una clave de descifrado necesaria para poder esclarecer un compromiso y se vera que cuando creemos que hemos solucionado el enigma solo hemos encontrado lo que el ciberdelincuente quería.

el enlace de la presentación lo podéis encontrar en la plataforma "Prezi":

Presentación de Antiforensics y la Alquimia de los bits





La imagen del reto expuesto (3*10^4 MB) se puede descargar desde Mega: 


Physical Evidentiary Item (Source) Information:
[Device Info]
 Source Type: Physical
[Drive Geometry]
 Cylinders: 3.824
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 61.440.000
[Physical Drive Information]
 Drive Model: Kingston DataTraveler 3.0 USB Device
 Drive Interface Type: USB
 Removable drive: True
 Source data size: 30000 MB
 Sector count:    61440000
 MD5 checksum:    00c97507dce5c61df3fd15a9db2e7b04
 SHA1 checksum:   321a693ab1060b960785fcff4b463a5c4d615e5c


Physical Evidentiary Item (Source) Information:
[Device Info]
 Source Type: Physical
[Drive Geometry]
 Cylinders: 3.824
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 61.440.000
[Physical Drive Information]
 Drive Model: Kingston DataTraveler 3.0 USB Device
 Drive Interface Type: USB
 Removable drive: True
 Source data size: 30000 MB
 Sector count:    61440000
[Computed Hashes]
 MD5 checksum:    e3b13c355791d22b252794ec66096d8c
 SHA1 checksum:   c55f8ff4bf3d7e46feadb48d93f17543ac723a21


lunes, 30 de junio de 2014

Cybercrime Underworld

Nacimos en mundo analógico y no tenemos desarrollados sentidos para el mundo digital
 
Estamos rodeados de tecnología y realmente no conocemos la potencialidad que nos ofrece. La gran mayoría de las personas siguen extrapolando el mundo analógico al digital e incluso quieren percibirlo con los mismos sentidos. Pero ... el Ciberespacio debemos observarlo con otros sentidos muy distintos si no queremos ser víctimas potenciales del cibercrimen.

Para poder movernos en este entorno digital con seguridad y poder defendernos con garantías ante las amenazas lo primero que debemos hacer es conocer y comprender como somos a nivel humano y tecnológico y conocer también a nuestros enemigos y como estos aplican la tecnología para sus propositos.


Nuestras medidas de seguridad solo seran efectivas si empezamos a conocer nuestras debilidades, las amenazas que se ciernen a las mismas y constantemente estamos fortaleciendo, monitorizando y aplicando técnicas de hardening a nuestros activos.

Los Ransomwares y las APTs son solo dos de los peligros que se ciernen contra nuestros Sistemas pero no están solos en este inframundo.

Podéis visualizar la presentación que ofrecí el 17 de junio de 2014 en el marco de Pildoras Tecnológicas que ISACA organiza con el "Col·legi d'advocats de Barcelona" (ICAB) sobre "Amenazas Persistentes Avanzadas (APT) y Extorsiones Criptovirales (Ransomwares.

Cybercrime Underworld

 Presentación



viernes, 13 de junio de 2014

4ª Pildora Tecnológica: "Amenazas Persistentes Avanzadas y Ciberextorsión"

El día 17 de junio de 2014 en el Ilustre Colegio de Abogados de Barcelona (ICAB) y fruto a la colaboración entre la Sección de derecho TIC del ICAB e ISACA Barcelona Oficial tendré el privilegio de presentar la 4ª "Pindola Tecnològica": "Amenaces Atacs Persistents i ciberextorsió".

La pildora estará orientada a dar unas pinceladas al cibercrimen actual que existe en Internet, destacando los ataques de ciberextorsión y los de intrusiones a sistemas de información.

Cuestionarse interrogantes como: ¿Cuáles son otros factores anexos que han llevado a ellos?, ¿Por qué la eliminación de estas amenazas no es suficiente para eliminar el riesgo de la empresa?, ¿Qué pasa con la información obtenida?, ¿Qué más han realizado en mis equipos?, ¿Cómo ha quedado mi sistema después de limpiar el malware detectado?, ¿Qué debo comunicar y a quién? y ¿Cómo debo proceder legalmente con este incidente?, entre otras muchos, son importantes y el objetivo de esta jornada es dar herramientas para poder conseguir estas respuestas.

Solo el conocimiento de estos crimenes puede ayudar a como tratarlos en su justa medida de una forma procesalmente adecuada, capturando las evidencias/pruebas digitales para incorporarlas con garantías en los procedimientos que se puedan derivar y fortaleciendo nuestros sistemas para estar preparados a saber reaccionar a los mismos.


Os adjunto algunos spoilers de los "slides" de la presentación, por si os pudierá interesar asistir a la jornada, cuyo acceso es gratuito; así como el enlace a la inscripción: http://lnkd.in/dsvNjaE





Web Statistics