Tenia pendiente el escribir una pequeña crónica de lo que ha sido mi paso por el ISMS Forum Euskadi de este año.

Agradecer la invitación a Kerman Arcelay, a los organizadores por la excelente gestión del evento y a los ponentes por dedicar su tiempo en compartir tan preciado conocimiento.

Creo importantes este tipo de eventos que permiten interactuar y discutir ideas con compañeros que se enfrentan a los mismos retos de seguridad. La vorágine del día muchas veces nos hace permanecer atrincherados en nuestros zulos llegando a perder el contacto con esa realidad física que tanto siempre nos aporta.

Remarcar que toda la información viene derivada de mis notas por lo que disculparme todos los ponentes por los errores que pueda contener  el relato.

Abría el evento con una presentación y bienvenida Alberto Bernáldez , CISO, Liberty Seguros; Board Member, ISMS Forum Euskadi quien daba paso al primero de los ponentes:

---

CIBERSEGURIDAD INDUSTRIAL: ESTRATEGIA, RIESGO E INVERSIÓN,
Eduardo D., Managing Partner, EDAN Ventures

---

• Estrategia del miedo
• Gasto de X€ en auditorias que luego no se les da continuidad
• Proyectos de seguridad a 3 años. ¿tienen sentido?
• Zero trust / Desconocimiento / La gente lo confunde con un producto
• Empresas se alían con un fabricante que les promete el pack completo. ¿Es interesante esta postura?

NUEVA ESTRATEGIA

• • Tenemos mucha información que no podemos procesar.
  • Enviar solo lo necesario al SIEM y filtrar antes de enviar.
  • Tener un único punto de control (Dashboard)
  • Recursos limitados/negocio/vulnerabilidades. Priorizar y centrarse en lo importante
  • Los presupuestos para seguridad no son ilimitados
  • Disponer de KPI a alto nivel mas allá de eventos del SIEM y vulnerabilidades
  • Contar con el apoyo de la dirección
  • Con el 80% de esfuerzo conseguir el 20% necesario
  • CISO: Buscar balance entre empresas grandes y Startups
  • Las grandes empresas tienen productos que cubren necesidades actuales pero les cuesta innovar
  • Las Startups mas alineadas con el mercado

CONCLUSION

• • • La estrategia del miedo se acabo
    • Desafíos en la gestión del dato
    • Visión integral y global para CISO con KPI más allá de los técnicos
    • StartUps ayudan en el proceso de innovación

Leer más…

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

• Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
• Esa contraseña permite acceso al puesto virtual

1-7 Agosto

• Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
• Se obtiene credenciales de usuario privilegiado

1-11 Agosto

• Se analiza la red, servidores de ficheros y recursos compartidos
• Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

• Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
• Se ejecuta de forma remota el archivo
• Se identifica con la monitorización y se activa el protocolo de alto impacto.
• Se abre el procedimiento de gestión de incidentes
• Se activa el comité de crisis
• Se activan los planes de continuidad de negocio
• Se activa call permanente con personal del área de seguridad y tecnología
• Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
• Apagar todos los servidores no imprescindibles
• Sacar de línea la copia de Backup y aislar segmentos de red
• Cortar conexiones desde Mafre hacia el resto de las empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios
• Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

• Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
• Se confirma la integridad y disponibilidad del Backup
• Se trabaja en la estrategia para recuperar los servicios
• Se busca apoyo en terceras empresas
• Resetear contraseñas de administradores y reducir usuarios admin
• Se aumentan las capacidad de monitorización, detección y respuesta
• Se consigue identificar y aislar el malware, se envía para análisis
• Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
• Llega personal de refuerzo a los Contact Center para atender a los clientes
• Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
• Se publica en la Web un comunicado del ciberataque

16 Agosto

• Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
• Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

• Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
• Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

• Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

• Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

• Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

• Todos los puestos están operativos

13 Septiembre

• Estar prácticamente todos los elementos de la red restaurados

21 septiembre

• Nueva comunicación con la AEPD para informar

23 Septiembre

• Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

• Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

• Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

• Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

• Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

• Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
• Uso de herramientas sofisticadas de hacking
• Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

• En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
• Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
• Se activó el plan de continuidad del negocio
• Convocar el comité de crisis
• Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
• Restablecer los servicios más críticos
• Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
• Contactar con fabricantes de seguridad para establecer un plan de refuerzo
• Refuerzo en la detección de los ataques en política Antivirus
• Mejorar la protección AntiSpam
• El uso por todos de 2FA
• Incrementar las capacidad de monitorización y respuesta ante incidentes
• Aumentar las restricciones para navegar por internet
• Incluir los IOC en todas las plataformas y filtros de Seguridad
• Mejorar la prevención de ataques DDoS
• Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

• IdUsuario + contraseña (Datos básicos)

COMUNICADOS

• Comunicar públicamente la situación a las pocas horas de conocerla
• Comunicado en la Web
• Locución en el Contact Center
• Mensaje en Redes Sociales
• Comunicados a empleados
• Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

• Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
• Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
• Se definió un plan de auditorías

MEDIDAS POSTERIORES

• Comprobar la creación de un Golden Ticket.
• Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

• Determina si se disponían de medidas de seguridad razonables
• Si existen auditorias para el cumplimiento de la RGPD
• La información que se ha Exfiltrado y si esta estaba protegida.
• El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
• Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

 

Dar las gracias tanto a Casimiro Nevado como a Carlos LOUREIRO MONTERO por ser los participes de montar una acción formativa en ciberseguridad de esta índole.

Y no solo a ellos, sino a todos los que sabemos que entre bambalinas han echo posible algo como C1b3rWall.

Agradecer a todos los ponentes que nos han dedicado parte de su tiempo y conocimiento de forma tan altruista. No hay libro que supla tal experiencia acumulada.

Mas allá de certificados, dar las gracias por darme la oportunidad de conocer tanto talento y crear contactos. Es de agradecer que prime más la voluntad de ayudar que el Ego de aparentar. Grandes profesionales.

Personalmente también he querido aportar parte de mi tiempo, intentando ser ese pequeño altavoz que simplemente pretendía amplificar y hacer llegar las charlas a tod@s aquellos que no han tenido la suerte de poder participar.

No perdamos nunca la curiosidad por aprender, porque es nuestra mejor herramienta para estar preparados ante retos futuros.

Somos muchos los que hemos tenido la fortuna de estar inscritos en C1b3rWall Academy, pero también son muchos los que se han quedado fuera.

Leer más…

Hoy vamos a hablar un poco sobre que es, y para que podemos utilizar el Protocolo Simple de Administración de Red o SNMP. Se trata de un protocolo que va ayudar a los administradores de red a gestionar de una forma más eficiente las redes. Nos va a permitir administrar y monitorizar diferentes elementos que conforman nuestra arquitectura de red, como pueden ser Switches, Routers, Firewalls, Servidores…Técnicamente hablando la arquitectura propuesta por el protocolo consta de tres elementos: 

• Dispositivos Administrados : Nodo que contiene un agente (Routers, Firewall…)
• Agentes : Software que reside en el dispositivo
• Sistema de administración de Red (NMS) : Software para las tareas de administración.

Para que nos entendamos un poco todos, imaginemos que tenemos un Router del cual nos interesa monitorizar aspectos como uso de CPU, Memoria, Estado de las interfaces…Para ello podemos hacer uso del protocolo SNMP.
Leer más…

 

Lsof es una aplicación muy interesante desarrollada por Vic Abell y disponible en prácticamente todas las distribuciones Linux que nos puede llegar a ser muy útil para diferentes propósitos.
Leer más…

 

Ya hemos visto que cuando Windows almacena las contraseñas de los usuarios en los archivos SAM o en el Active Directory, estas no están en texto en claro como a muchos les gustaría, sino que estas aparecen cifradas en algo que se conoce como Hash. De hecho en un configuración típica nos vamos a encontrar por norma con dos Hashes. Una LM (Lan Manager) y una NTLM (Windows NT).

Como ya hemos visto, romper una Hash LM es relativamente fácil si la contraseña no es muy, muy, muy…. complicada. En cambio con la Hash NTLM es otra cosa.

Entonces, ¿ porque Windows almacena la Hash LM ?. La respuesta es para mantener compatibilidad con las versiones anteriores a Windows 2000 (95, 98 Milenium…).
Leer más…

 

Muchas veces hemos estado en la tesitura de necesitar conocer la contraseña del administrador por el motivo que sea. Actualmente hay herramientas que nos facilitan mucho esa labor. Quien no conoce una herramienta como Ophcrack, de la que incluso disponemos una versión liveCD, en la que casi sin que tenga que interactuar el usuario nos va a permitir recuperar la mayoría de las contraseñas. El gran éxito con el que cuenta esta herramienta, a parte de su sencillez en su uso, es que se aprovecha de las Rainbow Tables.

¿Que sucede si la contraseña es lo suficientemente complicada ?. Pues… a seguir intentándolo. Podemos descargarlos nuevas tablas desde Internet, podemos utilizar ataques de fuerza bruta, podemos utilizar ataques de diccionario, y si somos un poco perezosos podemos darnos una vueltecilla por paginas como las que cito a continuación, en las que enviando la Hash y con no excesiva suerte y tiempo, podemos vernos recompensados con la tan deseada contraseña.
Leer más…

… o al menos algunas de ellas. Lo que si os puedo asegurar es que con los siguientes enlaces tenéis lectura para unas cuantas horas, dias, noches, meses…

• SecurityFocus
• HackerStorm
• Milw0rm
• Packetstormsecurity
• National Vulnerability Database
• Securitytracker
• Securityvulns
• SecurityTeam
• CERT
• Secunia
• Packetstorm
• Opennet.ru
• Sans Institute
• WebHack.ru
• Hackaday
• Blackhat
• OWASP
• Google Hacking Database
• Sla.ckers
• First
• Linux Security
• Cgisecurity
• Uninformed
• Info-Secure
• hack5 videos
• Vupen
• Osvdb
• Security.nnov.ru
• Onlamp
• Hackermedia
• Insecure
• USSR
• Commtouch
• Securemac
• Itsecurity
• Microsoft Security
• NIST
• CVE Mitre
• Digg
• Infosecwriters
• Slashdot
• Eweek
• F-Secure
• Infoworld

Saludos.

Aquellos que tengamos la necesidad de conectarnos de forma remota a nuestros servidores para su administración a través del protocolo SSH, sabemos la tortura que puede suponer introducir continuamente la contraseña para poder autenticarnos.

Voy a comentar una forma que nos facilite esta labor.

Para los que les suene a chino esto del SSH, hago referencia a la Wikipedia que todo lo sabe:
Leer más…

Si eres algo paranoico y te preocupa que información sensible caiga en manos ajenas, esto que te voy a contar puede que te interese. Vamos a hablar del conocido TrueCrypt. Se trata de una aplicación open source que te permite una encriptación en tiempo real, disponible tanto para plataformas Windows, Linux como Mac.

Nos va a permitir mantener fuera de ojos ajenos aquello que nos importe de verdad. Estamos hablando de criptografia, un arte que nos permite al menos en parte, mantener cierta intimidad. Debemos ser conscientes que la perdida de cierta informacion puede llegar a suponer un gran problema.
Leer más…