Riesgos Y Tendencias Del Crimen CibernéTico Y Su Impacto En La Republica Dominicana Final

4,478 views

Published on

Una presentación sobre los riesgos en la información y crimines ciberneticos mas sofisticados que ocurren en el mundo. También tiene información sobre la economía del hacking y como funciona la industria del crimen cibernetico. Tiene demostración de los ataques que sufren los bancos y procesadores de tarjetas de crédito y una evaluación de riesgos.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
4,478
On SlideShare
0
From Embeds
0
Number of Embeds
151
Actions
Shares
0
Downloads
101
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Riesgos Y Tendencias Del Crimen CibernéTico Y Su Impacto En La Republica Dominicana Final

  1. 1. Riesgos y Tendencias del Crimen Cibernético y su Impacto en la República Dominicana<br />COMPUEXPO ‘09<br />Jonathan Jaquez <br />Chief Technical Officer <br />Mageni | “Seguridad para Innovación” <br />(809) 846 6724<br />jejaquez@mageni.net<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  2. 2. Datos del expositor<br /> Jonathan Jaquez es el co fundador de Mageni Networks, una empresa de consultoría en seguridad de sistemas y administración de riesgos en la información. Tiene extensiva experiencia en pruebas de penetración, ethical hacking, asesoría de riesgospara grandes y medianas empresas, y en la entrega de conocimiento competitivo que ayuda a transformar la seguridad en un habilitador del crecimiento e innovación de los negocios. <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  3. 3. En esta conferencia descubrirán<br />Los riesgos que enfrentan los negocios en R.D.<br />El crecimiento de la industria del crimen cibernético<br />Las técnicas usadas por los hackers para explotar los riesgos<br />Demostración de los ataques que realizan los hackers para ganar acceso a los sistemas de información <br />Los controles y mejores practicas para optimizar los riesgos<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  4. 4. ¿Que es el crimen cibernético? <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />El crimen cibernético es el termino usado para enmarcar cualquier actividad ilegal que comprometa la integridad, disponibilidad, predictibilidad, seguridad, confianza y confidencialidad de un recurso tecnológico, propiedad intelectual, datos o información. <br />
  5. 5. La evolución del crimen en una industria<br />Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground<br />© 2009 Mageni Networks, Todos los derechos reservados.<br /> El crimen cibernético se ha convertido en una industria que evoluciona cada dia. Así como los negocios legítimos, estos empresarios del crimen ofrecen productos y servicios por una ganancia, luchan por ganar una ventaja competitiva y cuota en el mercado, y están continuamente innovando para mejorar sus ofertas y satisfacer las necesidades de sus clientes, y son afectados por las leyes de la oferta y demanda.<br />
  6. 6. El crimen cibernético es una industria….<br />Organizada<br />Multi-nacional<br />Muy, muy lucrativa<br />Riesgo bajo o inexistente <br />Es vertical y de vertiginoso crecimiento<br />Muy bajo CAPEX y OPEX <br />Fácil de operar y sus mercados son sus victimas<br />Es muy innovadora, no son niños que la conducen, son mentes criminales con un claro objetivo: robarse nuestro dinero<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  7. 7. El ecosistema de la industria del crimen <br />Infraestructura Técnica<br />Infraestructura Operacional<br />Herramientas<br />Fast Flux Hosting<br />Entrega<br />Mulas<br />Victimizar<br />Monetizar<br />Comunicación vía foro / chat<br />Cajero<br />Negocios Corporativos<br />Recolector<br />Soporte Técnico<br />Mercado<br />Victima de Hacking<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  8. 8. Servicio al “cliente” de los criminales<br /><ul><li>Reputación
  9. 9. Garantía del producto
  10. 10. Actualizaciones
  11. 11. Soporte
  12. 12. Marketing
  13. 13. Innovadores
  14. 14. CaaS (Crimeware-as-a-Service) / FaaS (Fraud-as-a-Service)
  15. 15. Diversificación </li></ul>© 2009 Mageni Networks, Todos los derechos reservados.<br /> “Nosotros vemos muchas señales que los criminales están imitando las practicas abrazadas por exitosos negocios legítimos para ganar ingresos y hacer crecer sus empresas” Tom Gillis, Vice Presidente y Gerente General, Cisco Security Products<br />
  16. 16. La lucrativa industria del crimen cibernético<br />“Desde el 2004, el Crimen Organizado ha hecho mas dinero de la venta de datos que por las ventas de drogas”<br />“El crimen cibernético se <br />mueve a tan alta velocidad que la policía no<br />puede atraparlo” <br />Fuente: The United Nations Office of Drugs and Crimes and the US Treasury’s Office of Technical Assistance<br />Fuente: Valerie McNiven, US Treasury advisor on cyber crime 2004<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  17. 17. Innovación de las amenazas<br />Los ataques son dirigidos y metódicamente elaborados<br />Bandas de criminales trabajan arduamente para captar nuevos “mercados”<br />Las victimas en su mayoría son bancos y medianas empresas<br />La tasa de los ataques esta acelerándose<br />Fuente: IBM<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  18. 18. Instituciones financieras atacadas por mes<br />Fuente: RSA Fraud Report Jun’09<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  19. 19. Países mas atacados por marcas<br />Fuente: RSA Fraud Report Jun’09<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  20. 20. Costo estimado por incidentes<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Riesgo de la Reputación <br />¿Cual seria el impacto de una brecha de seguridad? Muchas veces es incuantificable y cada cliente se puede convertir en un multiplicador de este efecto.<br />Riesgo Financiero<br />Brechas causadas por incumplimiento con PCI DSS pueden recibir multas de hasta 500,000 USD por incidente<br />$20 - $90 por tarjeta de crédito que pudierahaber sido expuesta<br />Costo promedio por incidente es de USD $5,000,000<br />Riesgo Operacional <br />Visa puede imponer restricciones operacionales como prohibir el manejo de tarjetas o datos de las mismas<br />
  21. 21. Fuente de las brechas de seguridad<br />Fuente: Verizon Business, 2009 Data Breach Investigations Report<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  22. 22. ¿Que recursos son blanco de los ataques?<br />Fuente: Verizon Business, 2009 Data Breach Investigations Report<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  23. 23. Perdidas por fraudes en línea<br />% Ingreso perdido por fraude en línea<br />Ingresos perdidos: USD $4.0 Billones<br />Fuente: Cybersource<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  24. 24. El impacto psicológico de una brecha<br /> En el caso de una brecha….<br /> 3 de cada 4 clientes no usaríanun servicio en línea que ya ha sido comprometido<br /> 84%de los clientes quieren comprar en lugares que sean lideres en la seguridad<br />Fuente: Visa<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  25. 25. El blanco pocas veces descubre la brecha<br />© 2009 Mageni Networks, Todos los derechos reservados.<br /> Como fue detectada la brecha<br />Un tercero la detecto a causa de un FRAUDE (55%)<br />Un tercero la detecto NO por FRAUDE (15%)<br />Descubierta por un empleado (13%)<br />Desempeño inusual del sistema (11%)<br /> Como ocurren las brechas<br />67% fueron por errores (Desarrollo, configuración, insensibilidad de la situación, etc.) <br />64% resultaron por actividades de hacking <br />38% uso malware<br />22% abuso de los privilegios<br />9% fue por ataques físicos<br />La sensibilidad situacional es la percepción de los riesgos de su negocio, ambiente y dependencias dentro de un volumen de tiempo y marco regulatorio, la comprensión de su significado, y la proyección de su situación en un futuro próximo que le permitirá ser consciente de lo que está sucediendo a su alrededor para comprender como la información, eventos, riesgos, amenazas, vulnerabilidades y sus propias acciones afectaran sus metas y objetivos estratégicos, tanto ahora como en el futuro próximo.<br />Fuente: Verizon Business, 2009 Data Breach Investigations Report<br />
  26. 26. Factores que incrementan el riesgo<br />Nuevas/Antiguas tecnologías (hardware & software) y aplicaciones<br />Nuevos servicios y productos <br />Éxito / Globalización<br />Poca seguridad / Poca cultura de seguridad <br />Desconocimiento de la sensibilidad situacional <br />Marco legal débil: La Ley 53-07 es un paso en la dirección correcta, pero le falta adecuarse a la realidad del crimen internacional, el código procesal penal no es el aliado perfecto para las autoridades que persiguen crímenes cibernéticos. <br />Escasos profesionales de seguridad experimentados<br />El CIDAT (Comisión Interinstitucional para el Combate de los Delitos de Alta Tecnología) necesita de un CERT (ComputerEmergency Response Team)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  27. 27. <ul><li>La constante evolución de las amenazas
  28. 28. De buscar fama a buscar dinero
  29. 29. Crecimiento de los negocios
  30. 30. El riesgo es proporcional al crecimiento
  31. 31. Crecimiento acelerado de servicios y redes IP
  32. 32. Acelera exponencialmente el riesgo
  33. 33. Rápido crecimiento de la data
  34. 34. La data es la nueva moneda (12 dólares por un dump*)
  35. 35. Los costos de seguridad crecen 3x en relación al presupuesto
  36. 36. Impedimento para ejecutar los planes completamente
  37. 37. Regulaciones y estándares como PCI DSS y CobiT
  38. 38. Dirigen las inversiones de seguridad</li></ul>La tormenta perfecta<br />* Dump es el termino undergound para data de tarjetas de crédito/debito, incluyendo números de cuenta<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  39. 39. ¿Cuanto vale para un hacker las tarjetas?<br />Aproximadamente 12 dólares por el “dump” de una tarjeta<br />Pero los precios pueden variar<br />50 USD por una Visa/Mastercard Corporativa*<br />100~160 USD por una Visa/Mastercard Platino**<br />* Fuente: http://www.wired.com/threatlevel/2009/10/florida_skimming/<br />** Fuente: Búsqueda en Google por “CreditCardDumpPricing”<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  40. 40. Tendencias en la explotación de riesgos<br />Numero de Vulnerabilidades<br />Fuente: SANS, The Top Cyber Security Risks ‘09<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  41. 41. 9 de cada 10 paginas web<br />tienen una seria<br />vulnerabilidad<br />Fuente: WhiteHat Security<br />“75% de los ataques son a las aplicaciones“ (Gartner)<br />Demostraciones …<br />
  42. 42. Anatomía del cross-site scripting (XSS)Como los hackers pueden ganar acceso a una red interna desde Internet<br />6<br />1<br />2<br />3<br />4<br />5<br />A traves de un canal encriptado (HTTPS) para mitigar ser detectado el intruso extrae la data de la empresa, <br />El atacante pone malware en un sitio de confianza<br />Un empleado es infectado por el malware y recibe un troyano<br />El hacker obtiene el password de administrador de la PC<br />Usando el password de administrador gana acceso a una PC segura<br />El hacker usa otra cuenta con privilegios de administrador para ganar acceso al controlador del dominio<br />DNS<br />WWW<br />Internet<br />Controlador de Dominio<br />Servidor con Secretos<br />Red Corporativa<br />Hacker<br />Windows con Cliente<br />Sin Parcho de Seguridad <br />Windows con <br />Parchos de Seguridad<br />Fuente: SANS, The Top Cyber Security Risks ‘09<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  43. 43. Para mitigar el cross-site scripting<br />Organizaciones <br />Implemente la modelación de amenazas <br />Valide todas las entrada de datos a las aplicaciones<br />Implemente listas negras que filtren los caracteres: &lt; # &gt; ‘ “<br />Audite anualmente el código de sus aplicaciones<br />Los programadores deben educarse en programación segura <br />Realice pruebas de penetración después de cada actualización <br />Aplique políticas de seguridad web robustas<br />Usuarios/Clientes<br />Instale la extensión de firefoxNoScript<br />Actualice Internet Explorer a la versión 8 que mitiga el cross-site scripting <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  44. 44. Phishing<br />El estafador se hace<br /> pasar por una entidad<br /> confiable en una <br /> aparente comunicación <br /> oficial.<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  45. 45. Phishing dirigido para instalar malware<br />Correo enviado de una aparente dirección valida.<br />Inmediatamente entra al sitio del phisher se le pide instalar una actualización de Flash<br />Link dirigiendo a un sitio que parece legitimo.<br />Fuente: Cisco 2008, Annual Security Report<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  46. 46. Como mitigar el riesgo del Phishing<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Personas<br />Antes de responder, pregunta: ¿Quien te envió el correo? ¿Porque? ¿Para que es útil la información que te piden?<br />Ningún banco pide información de sus usuarios por Internet<br />No entres a ninguna dirección que te envíe un correo de SPAM<br />Organizaciones<br />Implemente programas de educación Anti Fraude/Phishing para sus clientes, esto le ayudara a elevar la confianza en sus servicios. <br />“an ounce of prevention is worth a pound of cure” – Benjamin Franklin <br />
  47. 47. Un troyano instalado por Phishing<br />Unavezlas credenciales son robadas, la ventana del troyano desaparece, entregando al hacker las credenciales validas.<br />La ventana maliciosa es puesta sobre la ventana legitima sin interaccion del usuario.<br />Caballo de troya activado al momento de la victima visitar el banco.<br />29<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  48. 48. Para mitigar los troyanos<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Clientes/Usuarios <br />No instale programas sin validar el origen de los mismos<br />No use programas pirateados aka “cracks”<br />Borre los correos de Phishing<br />Mantenga una lista de direcciones confiables, no confíe en todo correo, pueden tener malware que se ejecuta al leer el mismo.<br />No visiten un Internet Banking desde Cybercafes<br />Organizaciones<br />Eduque a sus clientes y empleados en materia de seguridad<br />Realice pruebas de penetración comprensivas <br />
  49. 49. Operación: GetRichor Die Tryin’<br />Catalogada por el FBI como la brecha de seguridad mas grande que ha ocurrido en la historia de los Estados Unidos. <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  50. 50. Operación: GetRichor Die Tryin’<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />VictimasTécnicas<br />(1) Inyección de Comandos SQL<br /> (2) Sniffers<br /> (3) WarDriving<br /> (4) Recursos Compartidos (Password Débiles) <br /> (5) Malware<br /> (6) Anti-Forenses<br /> (7) Backdoors<br /> (8) Ingeniería Social<br />Impacto<br />+130 millones de tarjetas de crédito comprometidas<br />TJ Maxx perdió al menos USD $200 millones<br />HeartlandPaymentSystems ha perdido USD $32 millones<br />
  51. 51. Anatomía de los ataques de Inyección SQLReconstrucción de Operación “GetRichor Die Tryin’”<br />1<br />2<br />3<br />4<br />El hacker inyecta comandos SQL a la BD a través de una aplicación <br />Extrae la base de datos<br />Gana privilegios de SA e Instala malware (troyanos y sniffers) <br />Escala privilegios en la red local<br />WWW<br />BDB<br />Internet<br />Red Corporativa<br />WWW<br />BDA<br />Hacker<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  52. 52. Como mitigar el riesgo la inyección SQL<br />Implemente la modelación de amenazas<br />Valide todas las entrada de datos a las aplicaciones<br />Deshabilite los storedprocedures peligrosos <br />No use las cuentas de administradores para una aplicación<br />Realice pruebas de penetración después de cada actualización <br />Los programadores deben educarse en programación segura <br />Implemente un plan de respuestas a incidentes<br />No confie100% en los firewalls/IPS, estas tecnologías no pueden combatir estos ataques<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  53. 53. Impacto económico de “Getrichor die Tryin”<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />TJ Maxxperdió$200 millones de dólares <br />HeartlandPaymentSystemsperdió $32 millones de dólares<br />Las otras empresas afectadas no han divulgado datos….<br />¿Cuanto dinero hacen los hackers con 130 millones de tarjetas?<br />Cada tarjeta vale USD $12 dólares mínimo en el mercado de los hackers<br />130,000,000 x 12 = USD $1,560,000,000<br />En pesos dominicanos: RD$ 56,160,000,000<br />No debe haber dudas porque el crimen cibernético hace mas dinero que la droga. <br />
  54. 54. El ataque directo a un Banco no es inaudito<br /> Varios hackers penetraron en el 2005 a las oficinas de SMBC en el Reino Unido como conserjes, en complicidad con el personal de seguridad e instalaron keyloggers a los empleados de Mesa de Ayuda obteniendo los password de usuarios con acceso al SWIFT (SocietyforWorldwideInterbankFinancialTelecommunication) y transfirieron £220m (casi un cuarto de billón de dólares) <br />Fuente: Zdnet17 Mar 2005<br />“70% de las instituciones financieras sufrieron fraudes internos causado por empleados en los últimos 12 meses” (Darksecurity, 10.05.09)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  55. 55. Las instituciones militares también sufren <br /> Redes espías desde china descargaron terabytes de datos del proyecto F-35 que cuesta aproximadamente 300 billones de dólares. <br />Fuente: switched.com y Wall Street Journal <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  56. 56. Call centers fraudulentos<br />Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  57. 57. Un caso de call center fraudulento en RD<br />© 2009 Mageni Networks, Todos los derechos reservados.<br /> ?????? se acerca a técnicos de informática de varias empresas dominicanas, los soborna con RD$ 100,000~150,000 para que le den acceso los fines de semanas a sus redes con el fin de usar ilícitamente las IP-PBX (PrivateBranch Exchange) para traficar llamadas a destinos como Haití y Cuba. <br /> Varias empresas han caído en este esquema y han sufrido perdidas millonarias en fraudes de llamadas. <br /> Aunque este criminal ha sido identificado por las autoridades, evade la ley 53-07 abusando de las debilidades en la misma y en el código procesal penal. Es hora de actualizar las leyes dominicanas acorde a la realidad del crimen cibernético. <br />
  58. 58. Otras actividades del crimen cibernético <br />El salario semanal de una mula es 100,000 pesos dominicanos<br />Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  59. 59. Todos son un blanco<br />HACKEADOS<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  60. 60. LuckySploit  y URLZone: Malware de Ultima Generación Análisis de un ataque real a los clientes de un banco europeo entre agosto y septiembre del 2009.<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  61. 61. ¿Que es LuckySploit?<br />Una herramienta de explotación de vulnerabilidades en los navegadores Internet Explorer, MozillaFirefox y Opera para ganar acceso a las computadoras evadiendo los controles de seguridad. <br />Algunas características de LuckySploit<br />Aplicando la encriptación y ofuscación evade los sistemas de antivirus: Un firewall e IPS no es defensa contra LuckySploit<br />Para ganar acceso no autorizado explota vulnerabilidades en: Adobe FLASH y PDF, Microsoft Internet Explorer, Firefox y Opera<br />Es implantado en website legítimos a través de vulnerabilidades de inyección de comandos SQL (SQLi), Cross-site Scripting (XSS) entre otras. <br />Fuente: http://www.finjan.com/MCRCblog.aspx?EntryId=2213<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  62. 62. ¿Que es URLZone?<br />Es un bot (troyano) bancario que es implantado en las PC’s comprometidas por LuckySploit o por otro Crimeware. <br />Algunas características de URLZone<br />Registra las credenciales y cuentas bancarias<br />Toma screnshoots del Internet Banking cuando es accedido por la victima<br />Roba dinero de las cuentas bancarias de las victimas<br />Aplica el análisis del comportamientopara evadir los sistemas anti-fraude implementados en los bancos<br />Modifica el balance de las cuentas usando DOM (DocumentObjectModel) para evitar que la victima se de cuenta que le están robando<br />Registra las actividades de otras cuentas (Facebook, Gmail, Paypal)<br />Fuente: http://www.finjan.com/MCRCblog.aspx?EntryId=2213<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  63. 63. Anatomía de la infección de URLZone<br />Internet<br />PAGINA WEB<br />C&C SERVER<br />MI BANCO FAVORITO<br />Hacker<br />Windows con Navegador Parcheado<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  64. 64. Dentro de la interfaz C&C del troyano <br />Fuente: Finjan 2009 SeptCyberintel<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  65. 65. Para evitar la detección del robo <br />Los criminales se aseguran que el balance de la victima sea positivo <br />Que el monto robado no sea muy alto<br />Establecen un monto al azar para cada transacción <br />Se aseguran que el balance que reste sea positivo <br />Fuente: Finjan 2009 SeptCyberintel<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  66. 66. Screenshot del E-Banking de la victima<br /> 09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN <br /> NAME=POST1 <br /> USERHOST=postbank.de <br /> USERACC=[REMOVED] <br /> USERPASS=[REMOVED] <br /> BALANS=2027.69 <br />INET_LIMIT=15000.00 (Limite de la victima)<br /> DISPO_LIMIT=7000.00 <br /> MAXBETRAG= <br /> BLZ=60050101 <br />TRUEAMOUNT=53,94 (Balance falso)<br /> AMOUNT=8576,31 (Cantidad robada)<br /> %DROP_BLZ%=|LBBW/BW-BANK STUTTGART| (Banco de la mula)<br /> %DROPNAME%=|xxxxxx| (Mula)<br /> %KONTONUMMER%=|1000000001| <br /> %BLZ%=|60010070| <br /> %C1%=|RefNum 123456| <br /> %C2%=|RefNum 123456| <br /> %C3%=|RefNum 123456| <br /> %C4%=|RefNum 123456| <br /> COMMENT: Tigr<br /> EXINF= <br /> DATE: 24.08.2009 <br />VERSN: iexplore.exe 6.0.2900.2180 (Versión de IE)<br /> IP: XX.XX.XX.XX<br />Balance falso, en verdad el hacker robo mas de 8,000 euros.<br />Fuente: Finjan 2009 SeptCyberintel<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  67. 67. Tasa de detección de URLZone x los AV’s<br />1<br />2<br />3<br />4<br />5<br />Solo 5 de 41 antivirus detectan a URLZone: Sencillamente alarmante<br />Fuente: http://www.finjan.com/MCRCblog.aspx?EntryId=2213<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  68. 68. Un análisis económico de este caso <br />Desde el 11 hasta el 26 de agosto del 2009 esta banda hizo un total de 193,606 euros (RD$ 10,280,478) es decir: 12,000 euros por día (RD$ 637,200)<br />Desde agosto 30 hasta el 1 de septiembre, ellos robaron 42,527 euros (RD$ 2,258,183). Ósea: 21,000 euros por día. (RD$ 1,115,100)<br />En un total de 22 días hicieron 300,000 euros (RD$ 15,930,000)<br />El troyano aun permanece activo….<br />A ese ritmo: En un año esta banda de criminales podría hacer cerca de 5 millones de euros (RD$ 265,500,000)<br />No debe haber dudas de porque el crimen cibernético hace mas dinero que la droga y es de mucho menor riesgo. Países como Ucrania han dado inmunidad diplomática a criminales de este tipo y en Rusia muchos son muy protegidos. <br />Fuente: Finjan 2009 SeptCyberintel<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  69. 69. Complicaciones legales de URLZone<br />Fuente: Finjan 2009 SeptCyberintel<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Realiza todas sus operaciones desde el ordenador de la victima, y no desde una localidad remota. Esto implica que tanto para el banco como para un juez, el único que ha realizado transacciones es la victima. <br />URLZone cuando es detectado, activa un mecanismo de defensa para proteger la identidad de la mula, enviando dinero a cientos de cuentas de clientes legítimos que no son mulas. Muchas personas sin ser mulas podrían ser acusadas de lavado de dinero. <br />
  70. 70. Medidas para mitigar el riesgo<br />Usuarios/Clientes<br />No descarguen cracks, casi todos (o todos) son troyanos<br />Google Chrome® tiene medidas de seguridad para mitigar este riesgo (Un sanbox)<br />No visiten paginas de dudosa reputación<br />Revise su balance desde otra computadora si nota algo anormal <br />Mantengan actualizados sus softwares (PDF, Flash, Office, Zip, WMP, etc)<br />No ejecuten programas que les sean enviados para solucionar virus<br />Organizaciones <br />Es muy difícil detectar estos casos y mas aun detenerlos, es mejor prevenir que curar. Una educación proactiva a sus clientes y empleados puede darle mas resultados que invertir en costosas tecnologías que no mitigaran este riesgo. Despues de todo, el facto humano siempre es el mas débil en la seguridad. <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  71. 71. ¿Y mis defensas? ¿Qué pueden hacer para mitigar estos riesgos? ¿Cómo la evaden los hackers?<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  72. 72. Teoría Económica: Mercado de Vehículos<br />El comprador no discierne entre en un vehículo usado y uno nuevo, así que esta dispuesto a pagar por el usado como nuevo y viceversa. Esto no crea incentivos para R&D, lo que reduce la calidad de los productos de seguridad. Los resultados: los precios descienden hasta el nivel de productos poco útiles.<br />Los suplidores de seguridad son parecidos al mercado de vehículos<br />Los productos seguros son indiscernibles de los inseguros desde el punto de vista del comprador ya que el vendedor no dice las vulnerabilidades de sus productos. Muchos atacantes abusan de debilidades en los productos que están supuestos a defender las redes (Cisco 2008 Security AnnualReport)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  73. 73. El hacking es una ciencia muy lucrativa<br />El radar y ventana de efectividad de los IPS/IDS es limitado y pueden ser vencidos.<br />Los antivirus poseen debilidades que posibilitan la evasión de los mismos. Ejemplo de ello es que solo 5/41 antivirus detectan hasta la fecha al troyano URLZone<br />Es posible burlar los mecanismos de defensa de los firewalls por el uso de debilidades del protocolo TCP/IP.<br />Hacking no es teórico, es practico y metódico: Muchos hackers son jóvenes muy talentosos que son “contratados” (o forzados por la mafia) en las universidades y otros lugares para ser criminales<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  74. 74. Ventana de efectiva de los IPS/IDS y AV’s<br />1. Estudio basado en<br />Intrusiones descubiertas!<br />2. Muchas vulnerabilidades <br />Pasan ITW (in the wild) años antes de ser descubiertas. <br />3. Este es el modelo de seguridad de la industria y los atacantes lo han vencido.<br />4. Parcho no es sinónimo de seguridad. <br />.<br />Los IPS/IDS y AV’s son efectivos desde aquí <br />Intrusiones<br />1. Descubrimiento<br />3. Divulgación del Parcho<br />2. Vulnerabilidad es hecha publica<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  75. 75. Una evaluación de riesgos de la Republica Dominicana <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  76. 76. Evaluación de riesgos para RD<br />CULTURA<br />SQLi<br />PHISHING<br />VOIP<br />REDES SOCIALES<br />XSS<br />PCI DSS<br />TROYANOS BANCARIOS<br />DDoS<br />LEY 53-07<br />CÓDIGO PENAL<br />SPAM<br />MiTB<br />LÓGICA DEL NEGOCIO<br />VISHING<br />BOTNETS<br />EXTORSIONES<br />INFRAESTRUCTURA<br />DNS POISONING<br />CIBERTERRORISMO<br />PHARMING<br />VIRUS EN CELULARES<br />BGP HIJACKING<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  77. 77. Tendencias del crimen cibernético en RD<br />Conforme los bancos implementen autenticación de dos factores se comenzaran a ver mas ataques de MiTB (Man-in-The-Browser)<br />La sofisticación de los troyanos bancarios aumentaran, la probabilidad que para el 2010 seamos afectados por troyanos como URLZone es alta. <br />Los ataques a los procesadores de tarjetas de créditos y bancos se incrementaran <br />Proveedores de servicios de telefonía IP serán blanco de extorsiones por parte de Botmasters<br />Los ataques dirigidos de SQLi y XSS contra aplicaciones web serán mas frecuentes<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  78. 78. Recomendaciones para el Gobierno Dominicano <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  79. 79. Recomendaciones para el gobierno (I)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br /> El gobierno puede aprovechar los riesgos actuales en la información para liderar iniciativas en el Caribe y Centroamérica , incentivar el consumo en línea, la investigación y desarrollo, innovar en seguridad e impulsar un plan de uso seguro de las nuevas tecnologías. Las recomendaciones son: <br />Impulsar un plan de Cyberseguridad en la red<br />Definir un plan estratégico de seguridad que sea referente y ayude a trabajar de forma continua en los modelos de prevención <br />Implementar en el ITLA un CERT que también sea laboratorio de certificación que permita elaborar un catalogo de empresas y productos certificados en todo el territorio nacional <br />
  80. 80. Recomendaciones para el gobierno (II)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Crear campanas de concientización del crimen cibernético que ayuden a elevar la confianza en los servicios en línea dominicanos. Esto puede dinamizar la economía en línea de RD<br />Incentivar a nuestros jóvenes para que aprendan la seguridad de sistemas y no incursionen en el crimen organizado<br />Impulsar una ley similar a E-Discovery para garantizar la confiabilidad y estandarización de las evidencias electrónicas de los crímenes de alta tecnología <br />Lanzar un programa de certificación para E-Discovery dirigido a los profesionales de la auditora forense<br />Actualizar la ley 53-07 y el código procesal penal de forma que sea una efectiva y eficiente herramienta para combatir el crimen <br />
  81. 81. Recomendaciones para el gobierno (III)<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Crear un portal de protección a los datos del consumidor, que brinde consejos para la población sobre cómo protegerse de las amenazas cibernéticas y que notifique de brechas de seguridad, proveyendo las recomendaciones para mitigar el impacto de las mismas.<br />Aplicar por ley la transparencia en las brechas de seguridad que sufren las empresas dominicanas así como ha ocurrido en Estados Unidos<br />Implementar un plan de administración de riesgos en la información y los proyectos de tecnología <br />
  82. 82. Recomendaciones a las empresas para optimizar el riesgo<br />Las empresas que en los próximos años implementen una inteligente administración de riesgos y apliquen la ecuación riesgo-recompensa sacaran provecho de sus riesgos y crearan una ventaja competitiva de los mismos. <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  83. 83. Necesidad de un ERM<br />Objetivos y Metas <br />del Negocio<br />OBSTÁCULOS/RIESGOS<br />Procesos y Actividades del Negocio<br />ENTERPRISE RISK MANAGEMENT<br />Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr sus objetivos y metas . <br />© 2009 Mageni Networks, Todos los derechos reservados.<br />
  84. 84. ¿Por qué un ERM?<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Optimizara sus riesgos: Hoy en día es imposible mitigar al 0% todos los riesgos, las empresas riesgo-inteligentes se han movido de mitigar sus riesgos a optimizarlos para aprovecharlos como ventaja competitiva <br />Agregara valor al negocio <br />Transformara la seguridad de un inhibidor en un acelerador de la innovación y del crecimiento de su negocio <br />Manejara efectivamente eventos futuros que podrían crear incertidumbre<br />Reducirá sorpresas operacionales y perdidas por incidentes<br />Le ayudara a tomar decisiones mejor informado <br />
  85. 85. Otras recomendaciones…<br />© 2009 Mageni Networks, Todos los derechos reservados.<br />Eduque sus usuarios y clientes en materia de seguridad. El 84% de los clientes quieren comprar y usar servicios de empresas lideres en seguridad<br />Realice pruebas de penetración a un sistema después de cada actualización y a su organización de forma anual<br />Cumplir con PCI DSS es un paso en la dirección correcta pero no es la solución a los riesgos. Muchas empresas sufren brechas cumpliendo con PCI DSS. <br />Implemente un plan de respuestas a incidentes alineado con su BCP<br />Alinee su GRC: Eliminara programas redundantes, reducirá gastos y mitigara sus riesgos<br />
  86. 86. Jonathan Jaquez<br />Chief Technical Officer<br />Mageni Networks<br />http://www.mageni.net<br />Email: jejaquez@mageni.net<br />Móvil: 809.846.6724<br />Para conocer mas como proteger y acelerar el crecimiento de su negocio <br />Visítenos en: http://www.mageni.net<br />

×