DIÀLEGS 2018
CIBERSEGURETAT #directivaEAPC
4 d'octubre de 2018
CIBERSEGURETAT: UN DEBAT URGENT
• Sr. Tomàs Roy És el director d'estratègia de la Ciberseguretat del Centre de Seguretat de la Informació de Catalunya (CESICAT) des de l'abril del 2013, centre del qual, prèviament, va ser director executiu. Dins de la institució és el responsable de l’estratègia, de l’anàlisi de tendències, de la formació i la consci enciació de tots els agents implicats: públics, privats així com també de la ciutadania. S'encarrega del programa internet segura i de la innovació en ciberseguretat.
Anteriorment, fou director de qualitat, seguretat i relació amb els proveïdors del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya. I dins de la mateixa institució també va desenvolupar la funció de director de qualitat i seguretat.
A l'empresa privada, entre 2002 i 2004, fou director de seguret at de la informació i data privacy officer a Fiat GM Powertrain, Torino (Itàlia).
És Enginyer Superior en Telecomunicacions per la Universitat Politècnica de Catalunya (1992 - 1997) i Enginyer Superior en Electrònica pel Politecnico di Torino , Itàlia. (1998 - 2001). També és llicenciat en Ciències de la Educació per la UNED (1998 – 2003). Té un Màster Executiu en Administració Pública d'ESADE (2007 - 2009) i un Màster en Analista d’intel·ligència per la Universitat Rey Juan Carlos, Carlos III, UAB, UB (2013 - 20 14). Finalment, en l'àmbit acadèmic, també ha dut a terme un Programa en Comunicació Persuasiva i Eficaç a l'IESE (novembre de 2016).
Ha col·laborat en projectes de cooperació internacional i al procés de pau i formació a Guatemala amb l'ONG Prodessa (1998 - 1999). També té experiència en reconstrucció de llars i ajuda a la població civil a Bòsnia a través de Creu Roja Internacional. És activista d'acció no violenta i formador de l'ONG Novact, en Peu de Pau, Fem No Violència.
Forma part de diverses associacio ns: Centre Excursionista de Terrassa (CET), Associació de Servidors Públics de Catalunya (ServidorsCAT), Òmnium Cultural, ACNUR, Amnistia Internacional i NOVACT.
• Sr. Jaume Abella R esponsable de xarxa i Ciberseguretat i coordinador del "Màster en Ciberseguretat" de La Salle Campus Barcelona (URL).
Barcelona, 1970.
Va rebre el seu títol en Enginyeria Electrònica de La Salle - Universitat Ramon Llull de Barcelona (URL) el 1994 i el seu títol en enginyeria tècnica de telecomunicacions en la mateixa un iversitat el 1992.
És professor associat de La Salle Barcelona, Universitat Ramon Llull, des del 1997. Actualment, entre d’altres, imparteix l’assignatura de “Ethical Hacking” als alumnes del Grau en Enginyeria Telemàtica i del Grau en Enginyeria Informàti ca, coordina el “Máster en Ciberseguretat” i és responsable de la xarxa i la Ciberseguretat del Campus.
És també instructor de certificacions CCNA i CCNP de CISCO des del 2000 dins del “CISCO Networking Academy Program”, així com instructor dins del “Cyber security Academy Program” de Palo Alto Networks i del “Secure Academy program” de Check Point. Aquestes col·laboracions permeten formar als estudiants amb els continguts i tecnologies més punteres dins l’àmbit de la Ciberseguretat.
Molts dels seus projecte s s’han centrat en la creació de laboratoris, continguts i noves metodologies per formar als alumnes universitaris en les més actuals tecnologies en el món de les xarxes i la Ciberseguretat. Entre ells destaca la creació del “LOST Project” (Learning platfO rm for Security Training), una plataforma dissenyada i desenvolupada per a que els estudiants puguin aprendre i millorar les seves habilitats des del punt de vista del hacking ètic.
Té diverses publicacions sobre telecomunicacions i sistemes intel·ligents aplicats a xarxes, i ha participat en projectes de R+D en temes com les xarxes ATM, tècniques d´intel·ligència artificial aplicades a la creació de xarxes i enginyeria de tràfic en xarxes MPLS.
Va dirigir l’antic Màster en Seguretat TIC de La Salle des del 2000 al 2008 i va ser responsable del Departament de IT del 2003 a 2007.
És membre de ISECOM des del 2001, organització amb la qual han desenvolupat projectes de formació i conscienciació en ciberseguretat, i col·labora amb OWASP des del curs 2013 per org anitzar , anualment , el “OWASP Spain Chapter Meeting”.
EL MARC DEL DIÀLEG
D'ençà que l'any 2013, el Sr. Edward Snowden va fer públics - a través de la premsa - els milers de documents classificats com a d'alt secret de diferents programes de l'Agència de Seguretat Nacional dels Estats Units on es descrivien alguns dels programes de ciberseguretat més rellevants i amb un gra n impacte mundial, la ciberseguretat ha esdevingut una qüestió que omple portades de diaris i a més, ha arribat a ser una de les prioritats dels països avançats, els quals han desenvolupat estratègies de ciberseguretat que han de permetre als governs tenir una visió a llarg termini sobre l'estat de protecció del ciberespai.
En aquest sentit, conceptes com ciberseguretat, ciberespai, ciberdefensa o ciberatacs ja formen part del llenguatge habitual dels mitjans de comunicació i també de la ciutadania.
I és que en un món que cada dia és més digital, amb informació que s'allotja i viatja entre varietat de dispositius i infraestructures tecnològiques, les administracions públiques, les empreses i les persones individuals han de prendre consciència de la importà ncia d'aquests conceptes i també de la necessitat de protegir - se d'unes amenaces i riscos que cada dia són més grans. Aquest fet és especialment important quan parlem de les administracions, sobretot tenint en compte que han de garantir la integritat, disp onibilitat i confidencialitat de la informació de la ciutadania i potencials clients.
Evidentment, Catalunya no ha quedat exclosa d'aquesta tendència. Ans al contrari. El fet que el nou govern de la Generalitat de Catalunya tingui una Departament vinculat a les Polítiques Digitals i Administració Pública indica com d'important és aquesta qü estió per a l'administració actual.
Aquest diàleg donarà llum a aquestes qüestions i ajudarà a comprendre la importància de la temàtica.
PRINCIPALS QÜESTIONS
Aquest primer diàleg de l'any 2018 abordarà qüestions vinculades a conceptes com ciberseguret at, ciberespai, ciberdefensa o ciberatacs així com qüestions vinculades a les polítiques púb liques que s'han de dur a terme per a garantir la protecció de les dades.
En aquest sentit, plantejarem a les persones que participaran al diàleg diverses qüestions vinculades a:
- Quins són els principals riscos i amenaces que hem d'afrontar?
- Com es pot combinar un entorn cada cop més regulat a internet i el risc de sobreprotecció?
- Si partim de la idea que el control que hi ha al món digital no existeix al món físic, com es pot posar en pràctica una regulació que garanteixi drets?
- Quines són les diferències entre ciberseguretat i seguretat de la informació ?
- És molt gran el desfasament entre l'organització de la ciberdelinqüència i la velocitat amb que l'entorn internet es prepara per defensar - se'n?
- Com es pot garantir la seguretat de ls servidors públics i de la ciutadania?
- Com es fa per sensibilitzar els servidors públics que treballen a l'administració sobre temes vincula ts a la seguretat?
- I com es fa per sensibilitzar una ciutadania que cada dia està més connectada a diferents dispositius?
- Si hem après a aplicar mitjans i mesures de protecció a l'espai físic, com ho fem perquè tothom entengui que també cal aplicar - l os a la virtualitat? En aquest sentit, quina formació ha de promoure l'administració pública entre la ciutadania i els servidors públics?
- I continuant amb la formació, si hi ha gran demanda de talent per al món vinculat amb la ciberseguretat, què cal fe r des de la universitat catalana per atraure més estudiants que puguin, en el futur, cobrir aquests llocs de feina?
- I què fan conjuntament les administracions públiques i els acadèmics que fan recerca sobre la qüestió per fer front a aquests perills i a menaces?
- Quina contribució ha de fer el món de la innovació i la formació per empoderar l'usuari?
- Com es poden crear xarxes de confiança?
- L'administració catalana, està ben protegida?
- I si parlem de reptes, quins són els més importants durant els propers anys?
- Quina hauria de ser la política pública de la Generalitat de Catalunya durant els propers anys per garantir la consecució dels grans reptes?
MATERIALS DE REFERÈNCIA
Pu blicacions incloses en aquest material Abella, J., Corral, G. i Zaballos, A. (2012). LOST, Project a Learning platfOrm for Security Training Cesicat (2018). General Data Protection Regulation : bona notícia per a la ciberseguretat. URL: https://ciberseguretat.gencat.cat/web/.content/PDF/22062018_Article - RGPD.pdf Cesicat (2018). Informe de tendències en ciberseguretat 2017 . URL: https://ciberseguretat.gencat.cat/ca/detalls/noticia/El - CESICAT - publica - un - informe - sobre - les - tendencies - de - ciberseguretat - del - 2017 Cesicat (2018). Informe de tendències de ciberseguretat, 1r trimestre 2018 . URL: https://ciberseguretat.gencat.cat/web/.content/PDF/20180530_Analisi - Te ndencies - 2018_1T.pdf Cesicat (2018). Informe de tendències de ciberseguretat, 2n trimestre 2018 . URL: https://ciberseguretat.gencat.cat/web/.content/P DF/20180801_Analisi - Tendencies - 2018_2T.pdf Cesicat (2017). Una mirada a la ciberseguretat industrial . URL: https://ciberseguretat.gencat.cat/ web/.content/PDF/Una - mirada - a - la - seguretat - industrial - CESICAT.pdf CCN - CERT (2018). Ciberamenazas y tendencias 2018 . URL: https://www.ccn - cert.cni.es/informes/informes - ccn - cert - publicos/2856 - ccn - cert - ia - 09 - 18 - ciberamena zas - y - tendencias - 2018 - resumen - ejecutivo - 2018.html
Enllaços a vídeos divulgatius Agència de Ciberseguretat . Vídeo de la Generalitat de Catalunya sobre la importància d’implementar aquest organisme: https://www.youtube.com/watch?v=bFgOVUUubkU The Wolf: the hunt continues . Missatge divulgatiu i per generar consciència de la companyia HP: https://www.youtube.com/watch?v=m6kyCVTLIJY Internet Segura, vídeos divulgatius dirigits a diferents públics de la ciutadania: Pares: https://internetsegura.cat/pares/videos - pares Joves: https://internetsegura.cat/joves/videos - joves Educadors: https://internetsegura.cat/educador/videos - educadors INCIBE, sèrie de vídeos divulgatius per a l’empresa: (1/4) https://www.youtube.com/watch?v=EHjmxujXIaQ (2/4) https://www.youtube.com/watch?v=kW6RpKSo7xQ (3/4) https://www.youtube.com/watch?v=o9IzWE8h2RQ (4/4) https://www.youtube.com/watch?v=rPfZ5EPnle4
Enllaços a pàgines web, articles i blogs d’interès • Centre de Seguretat de la Informació de Catalunya (Cesicat). Web de l'organisme encarregat de garantir la protecció, prevenció i governança en matèria de ciberseguretat de la Generalitat de Catalunya i el seu Govern: https://ciberseguretat.gencat.cat • Internet Segura. Línia de conscienciació i sensibilització del Cesicat: https://internetsegura.cat • Centro Criptológi co Nacional (CCN) . Organisme adscrit al Centro Nacional de Intelitencia (CNI) amb l’objectiu de contribuir a la millora de la ciberseguretat espanyola: https://www.ccn - cert.cni.es • Instituto Nacional de Cibersegu riedad (INCIBE) . Societat depenent del Ministeri d’Economia i Empresa per al desenvolupament de la ciberseguretat i la confiança digital a Espanya: https://www.incibe.es/ • Comissió de Polítiques Digitals i Administració del 12 de juliol de 2018 . Exposició del conseller, Jordi Puigneró i Ferrer, en la qual (entre altres temes) es tracta el pla del Departament en matèria de ciberseguretat en la present legislatura: https://www.parlament.cat/document/dspcc/272169.pdf • La importancia de la ciberseguridad en el mundo empresarial https://www.ifp.es/blog/la - importanci a - de - la - ciberseguridad - en - el - mundo - empresarial • Introducción y conceptos básicos en ciberseguridad https://conectasoftware.com/ciberseguridad/introduccion - conceptos - basicos - ciberseguridad • Blog que publicarà, successivament, diversos articles sobre ciberseguretat Los perfiles de ciberseguridad bajo demanda, IDE - CESEM, Instituto de Directivos de Empresa: XXX https://www.formacionparaprofesionales.es/perfiles - ciberseguridad - bajo - demanda/ • Expertos en ciberseguridad, uno de los perfiles más buscados en 2018, RRHHDig ital, el primer periódico online de Recursos Humanos http://www.rrhhdigital.com/secciones/seleccion/128992/Expertos - en - c iberseguridad - uno - de - los - perfiles - mas - buscados - en - 2018
Enllaços a informes de referència • Acció, Generalitat de Catalunya (2018). La Ciberseguretat a Catalunya . URL: http://www.accio.gencat.cat/ca/serveis/banc - coneixement/cercador/BancConeixement/la - ciberseguretat - a - catalunya • ONTSI (2017). Estudio sobre la Ciberseguridad y Confianza en los hogares espanyoles . URL: http://www.ontsi.red.es/ontsi/es/Ciberseguridad - y - confianza - en - los - hogares - espa%C3%B1oles - abril - 2017 • Cisco (2018). Annual Cybersecurity Report , Cisco 2018 . URL: https://www.cisco.com/c/dam/m/digital/elq - cmcglobal/witb/acr2018/acr2018final.pdf?dtid=odicdc000016&ccid=cc000160&oid =anrsc005679&ec id=8196&elqTrackId=686210143d34494fa27ff73da9690a5b&elq aid=9452&elqat=2 • Symantec (2018). Internet Security Threat Report 2018 (ITSR), Vol. 23 . URL: https://www.sy mantec.com/content/dam/symantec/docs/reports/istr - 23 - 2018 - en.pdf • Check Point (2018). 2018 Security Report . URL: https://www.checkpoint.com/downloads/product - related/report/2018 - security - report.pdf • Trustwave (2018). Trustwave Global Security Report. URL: https://www2.trustwave.com/GlobalSecurityReport.html • Forcepoint Security Labs (2018). 201 8 Security Predictions . URL: https://www.forcepoint.com/es/resources/reports/2018 - security - predictions • ThreatMetrix (2018). Q1 2018 CYBERCRIME REPORT. URL: https://www.threatmetrix.com/info/q1 - 2018 - cybercrime - report/ • Munich Security Conference (2018). Munich Security Report 2018 . URL: https://www.securityconference.de/fileadmin/images/MSR/MSC_MunichSecurityR eport_2018.pdf • Akamai (2018). State of the internet, Spring 2018 . URL: https://www.akamai.com/uk/en/multimedia/documents/case - study/spring - 2018 - state - of - the - internet - security - report.pdf • Fortinet. Threat Landscape Report, Q1 2018 . URL: https://www.fortinet.com/content/dam/fortinet/assets/threat - reports/Q1 - 2018 - Threat - Landscape - Report.pdf • Wold Economic Forum (2018). The Global Risks Report 2018, 13th Edition . URL: http://www3.weforum.org/docs/WEF_GRR18_Report.pdf • Comodo (2018). Comodo Cybersecurity, Q1 2018 REPORT . URL: https://enterprise.comodo.com/comodo - 2018 - threat - research - q1report/Comodo_Q1_2018.pdf • Rapid 7. Quarterly Threat Report, Q1 2018 . URL: https://www.rapid7.com/globalassets/_pdfs/research/rapid7 - threat - report - 2018 - q1.pdf • McAffe (2018). Mobile Threat Report Q1 2018 . URL: https://www.mcafee.com/enterprise/en - us/assets/reports/rp - mobile - threat - report - 2018.pdf • CenturyLink (2018). CenturyLink 2018, Threat Report . URL: http://lookbook.centurylink.com/threat - report/2018threatreport?utm_source=thinkgig&utm_medium=social&utm_term= ge ar&utm_content=blog_threat - report&utm_campaign=gear_security_cmd&st - t = • Cryptonite NXT (2018). CryptoniteNXT Healthcare Report 1H2018 . URL: https://info.cryptonit enxt.com/hubfs/CryptoniteNXT - Healthcare - Report - 1H2018.pdf • Kaspersky (2018). The State of Industiral Cybersecurity . URL: https://ics.kaspersky.com/media/2018 - Kaspersky - ICS - Whit epaper.pdf • Malwarebytes (2018). Cybercrime tactics and techniques: Q2 2018 . URL: https://resources.malwarebytes.com/files/2018/07/Mal warebytes_Cybercrime - Tactics - and - Techniques - Q2 - 2018.pdf • Akamai (2018). [state of the internet]/security: Web Attack, summer 2018 . URL: https://www.akamai.com/uk/en/multimedia/documents/state - of - the - internet/soti - summer - 2018 - web - attack - report.pdf?mkt_tok=eyJpIjoiTVdRM056ZzJaV1ZtTkRBeCIsInQiOiI2ZmJVd 1NEVDMxc nYyRWxtdFVvaEY1Nm9LYXRSbm5JUzVJYytndEhMdVUzWTVtSjFmZjFrNU5PK2dEeU FDVUlFOEdcL0RJOEMwOCtKRlJcL28xbDNEY3lsbDI4a3dlMVNqaVwvMzBRUHVOaXJ MZko0bzduRFFmUDM1dHVIa0RBTFNJZCJ9 • Akamai (2018). [state of the internet]/security: Attack Spotlight, soti summer 2018 . URL: https://www.akamai.com/us/en/multimedia/documents/state - of - the - internet/soti - summer - 2018 - attack - spotlight.pdf • Rapid 7 (2018) . Quartely Threat Report, Q2 2018 . URL: https://www.rapid7.com/globalassets/_pdfs/research/rapid7 - threat - report - 2018 - q2.pdf • TrendMicro (2018). Unseen Threats, Imminent Losses, 2018 Midyear Security Roundup . URL: https://documents.trendmicro.com/assets/rpt/rpt - 2018 - Midyear - Security - Roundup - unseen - threats - imminent - losses.pdf?_ga=2.15991350.1823182638.1535629068 - 2011512902.1535629068&_gac=1.2 29294376.1535629068.EAIaIQobChMI8OTGhN iU3QIV5pXtCh3Q6ggCEAAYASAAEgKhMPD_BwE • BSI Group (2018). Horizon Scan Report 2018 . URL: https://www. bsigroup.com/LocalFiles/en - GB/iso - 22301/case - studies/BCI - Horizon - Scan - Report - 2018 - FINAL.pdf • Fortinet (2018). Threat Landscape Report, Q2 2018 . URL: https://www.fortinet.com/content/dam/fortinet/assets/threat - reports/q2 - 2018 - threat - landscape - report.pdf?elqTrackId=078eb40369b640 79b165425ee8954aba&elq=944fa9e96ba6 4f2799fe6437ac183f0b&elqaid=11771&elqat=1&elqCampaignId = • Checkpoint (2018). Cyber Attack Trends, 2018 mid - year report . URL: https://p ages.checkpoint.com/rs/750 - DQH - 528/images/cyber - attach - trends - mid - year - report - 2018.pdf?mkt_tok=eyJpIjoiTTJNNE1ERTBNV1ZqWTJGaCIsInQiOiJCXC9LMWRLazVC dnhlYnpOOFpRa1RwYTc1aDh2a3ljZCtKYWJwVzNSeG9tOStHVmR1aStJenVFbDRudF wvRW55Q1VPMWR6SlwvZ3RXWmpsOUlOMytqVXVLRytRW Dd1XC9nM1hOQkZ2dG JIM1NpWHlVK1EzTWNsNXA1ekU4MU9UMWNNTVIifQ%3D%3D • Comodo (2018). Global Threat Report, Q2 2018 Edition . URL: https://www.comodo.com/GTR/Q 2/2018/ComodoCybersecurityGlobalThreatRepo rtQ22018Edition.pdf • Kaspersky (2018). Th reat Landscape for Industrial Automation Systems, H1 2018 . URL: https://media.kasperskycontenthub.com/wp - content/uploads/sites/43/2018/09/06075839/H1_2018_ICS_REPORT_v1.0_ENG_0 5092018.pdf • ThreatMetrix (2018). 2018 Cybercrime Report Q2 . URL: https://www.threatmetrix.com/wp - content/uploads/2018/09/q2 - 2018 - cybercrime - report - 1536619959.pdf
Article LOST Project
LOST Project, a Learning platfOrm for Security Training
Jaume Abella, Guiomar Corral, Agustin Zaballos Computer Engineering and Networking Department La Salle –Ramon Llull University Barcelona, Spain {jaumea,guiomar,zaballos}@salleurl.edu
Abstract—The LOST Project, a Learning platfOrm for Security elearning platform, the management interface, the learning Training, developed by "La Salle - Ramon Llull University" in material and the proposal of challenges offered to students. The collaboration with ISECOM, the "Institute for Security and paper also exposes how the security course is developed into Open Methodologies", is an eLearning environment that helps this environment and the results obtained with students. security trainers the teaching of hands-on technological knowledge on security testing and auditing and engages students in the security world from the Ethical Hacking perspective. This II. BUILDING BLOCKS environment is based on an elearning platform, a test bed to be As mentioned previously the LOST project is composed by used by the students, a management interface that allows the the following building blocks: a test bed to be used by the trainers to control what students do, the materials that students students, a management interface that allows the trainers to use during the learning process, a list of projects and new ideas control what students do, the curriculum that students use for students to develop their final thesis and a challenge to during the learning process, an elearning platform and a list of motivate students. This paper describes the components of the projects and new ideas for students to develop their final thesis. LOST Project, how it was developed, how it is used and the results obtained with the students enrolled in the corresponding security courses. A. The test bed The test bed has been designed to replicate real Keywords: Security; Training; Ethical; Hacking; Auditing; infrastructures where students find and experiment with several Test bed and diverse host platforms, operating systems (OS), network topologies and protection equipment, all organized in several I. INTRODUCTION and different scenarios (see Figure 1). During the 2010-2011 academic year we were starting up a The students use this test bed to implement the labs new course on IT security as part of the curriculum for the proposed in the different lessons of the Learning Materials, undergraduate engineering degree in “Networking and Internet where a specific scenario is designed for each of the lessons in Technologies” at La Salle – Ramon Llull University. The order to accomplish the defined objectives. course was planned to be implemented using a Learning-by- doing methodology, so the main requirement was the A second test bed exists, the “development test bed”, a implementation of a test bed were students could develop their replicated one where students in their last year contribute in the security tests. development of the new version of the LOST project, introducing new and useful functionalities. The idea of a security test bed wasn’t something new, because La Salle had been working on security projects with ISECOM, the “Institute for Security and Open Methodologies”, and hosting the security test bed that ISECOM uses for its certification trainings and exams, for more than 10 years. So, all together and some new ideas were the starting point of a new and challenging project that explores new frontiers and new methodologies in technological education. This paper describes the design and implementation of the LOST project (Learning platfOrm for Security Training), this new learning platform that helps security trainers the teaching of hands-on technological knowledge on security testing and auditing. The project is composed by several parts, being each one described through this paper, including the test bed, the Figure 1. LOST Project Test Bed The design and implementation of the test bed is based on the concepts of virtualization and cloud computing, with three main parts: network virtualization, server virtualization and storage virtualization. The network virtualization part uses the Virtual LANs (VLANs) concept to implement the different scenarios and allows the required flexibility to change the topology just by configuration. The server virtualization part uses a reduced server farm running a hypervisor that supports a big number of Virtual Machines (VMs) with different OSs and applications. These VMs are assigned, just by configuration, to the correspondent scenario or VLAN. Finally, the storage virtualization part uses a Network Attached Storage (NAS) to centralize all the VM disks in a common place, allowing the movement of VMs between servers to accomplish the Figure 2. LOST Project scenario requirements of high availability and flexibility. c) Password cracking: In this topic students implement B. The management interface password dictionary attacks, password brute-force attacks, Students use the management interface, or front-end, to log social engineering and other ways to obtain people’s into the environment and check the different scenarios that they passwords. They also work on countermeasures to avoid this have to implement. Once they are logged in, an access firewall kind of attacks. allows them the access to the correspondent scenario of the test bed. d) Basic Network Attacks: Students implement and analyze different basic attacks such as the “ping of death” The access to the test bed is supervised by the instructor, attack, the “Smurf” attack, a web session hijacking and the who controls the activity of each student, using the information “SYN flood” attack. After analyzing the results of each attack obtained by a monitoring system. Using this information the they are asked to propose solutions for each problem. trainer can certify whether each student has accomplished the objectives for each lesson or not. e) Footprinting: Footprinting is the act of gathering information about a computer system and the entities it C. The learning materials belongs to, and it is the first step before conducting a security The learning materials have been designed to teach “IT test. Students are proposed to perform a footprinting process security” to students from the Ethical Hacking perspective, so on a real given domain, and are instructed in the different tools they are able to implement a complete security audit process, and techniques used to do so. detect the vulnerabilities of an IT infrastructure and identify the f) Port scanning: Port scanning, or “service scanning”, necessary security countermeasures to apply. is the process of scanning a range of IP addresses to determine Similar to [1] our security course and textbook is designed what services are running on a network. Students implement a for an audience of computer engineering degree students or port scanning over the LOST test bed (Figure 2) using some of networking engineering degree students at the undergraduate the most important tools, such as “nmap”, “hping”, level, both with a very good previous background on “unicornscan” and others. They also implement an “Idle networking and systems administration. Scanning”, an interesting technique to portscan a remote system fully anonymous. To do so, the lessons have been structured in the following main topics: g) Fingerprinting: In this section students learn the process of discovering the underlying operating system and a) Basic Scenarios: In this section students learn the port applications of a target. This is because many of the basics of Linux and Windows services administration and exploits are specific to the platform and version. Students use configuration (www, ftp, ssh), the use of tcpdump to capture some of the IP and ICMP fingerprinting techniques and and analyze network traffic, use and analyze traceroute results, develop a complete fingerprinting process. Additionally, they create and identify TCP/IP sockets with Netcat and implement also learn how to remove or obfuscate server headers, in order ARP spoofing in a switched environment. These are some of not to provide unnecessary information that could be used for the basic skills they need in order to successfully implement malicious purposes. the labs of the next sections. h) Vulnerability detection: After discovering the name b) Cryptography: In this chapter students are taught and version number running on any open port a security about the basics of cryptography and all its different auditor or hacker can search some vulnerability databases and applications from a practical point of view, through the try to find an exploit to use against the server. Students, in this analysis of SSH operation and configuration, hashing section, identify and analyze the most important vulnerability applications, encryption methods used in Linux and Windows, databases and how these databases identify and codify use of public key infrastructure (PKI) in web servers’ digital vulnerabilities (CVE, Bugtraq ID, and so on). After that, they certificates, and HTTPS and SSL/TLS operation. install, configure and use Nessus [2], a great tool designed to automate the testing and discovery of known security Apart from others, ISECOM has been mainly involved in problems, and implement a complete scan over one of the this phase of the project because of their expertise in their scenarios of the LOST test bed. methodology. This ensures that, after taking this course, students will feel comfortable using this methodology any time i) Penetration testing: The last part of a security test is they have to implement a security test in their future jobs. the penetration testing. When a vulnerability is found in a system the associated exploit can be used, for instance, to get D. The eLearning platform non authorized access to the system. In this chapter students learn how to implement a complete hack on an old Windows To implement the elearning platform we use Moodle [7]. 2000 server with IIS 5 using netcat only, just to point out how This Course Management System (CMS) is a free web versatile this tool is. They also use Metasploit Framework [3] application designed to create effective online learning sites. This platform is synchronized with the management site in to hack into a vulnerable Windows XP using the Microsoft order to share the same users and passwords. All the lessons Windows Server Service RPC vulnerability. Finally they also are published online in the elearning platform using the get control of a Linux server using a buffer overflow SCORM (Sharable Content Object Reference Model) module, vulnerability. At the end of each lab students analyze the a collection of specifications that enable interoperability, countermeasures required to avoid these weaknesses. accessibility and reusability of web-based learning content [8]. j) Firewalls and Intrusion Prevention Systems (IPS): This site is also used to grade students’ activities and to publish When performing a security test an auditor must ensure that additional information needed for the different labs they have firewalls and IPSs are up and running correctly, that they to implement. cannot be detected and no one can circumvent them. To train This eLearning platform, as any other system in the LOST students in these concepts they implement different labs where Project, runs virtualized in the test bed infrastructure, because they learn how different tools can be used in probing and of the flexibility obtained to manage, control, snap shoot or scanning for firewalls, and how TCP, UDP and ICMP duplicate virtual machines. tunneling can be used to circumvent network access controls, encapsulating one protocol into another. Finally they also E. The list of projects explore how reverse tunneling can be used to connect to a At the end of their degree students are offered a list of computer behind a firewall, when for instance only outgoing different projects and new ideas in order to develop their final connections are allowed (see Figure 3), and how IPSs can be thesis. Students working on this project are all from the used to detect this kind of traffic activities. different disciplines of the IT engineering, most of them from k) Hacking Wi-Fi: The 802.11 specifications do not the Networking and Internet Technologies Engineering degree include security controls in the management and control and from the Computer Engineering degree. frames, so modifying or spoofing fields and injecting them So, with the participation of the students, we make the back into the wireless network is really easy [4]. In these final project evolve and improve with new functionalities, and they labs students learn how 802.11 management frames work, improve their skills contributing in a real, challenging and very understand how WEP and initialization vectors work, and use interesting project. the aircrack-ng suite tools [5] to capture and analyze these Following are exposed some of these proposals that we frames and crack WEP keys. They also identify how security offer to our students. The reader will observe that the titles for is improved when moving from WEP to WPA standards. each of these offerings are established in a singular way. The final textbook that includes all the previous chapters does not follow any specific security certification in detail such TABLE I. LIST OF NEW PROPOSALS as Security+, CISSP or SSCP, but in each of the topics some of the most important concepts of the Open Source Security Title Description Testing Methodology Manual (OSSTMM) [6] have been Explores techniques and scenarios based The Attack of the ICMPs introduced. This is because of the importance of knowing a on ICMP attacks Explores scenarios based on IP and ICMP formal methodology to develop thoroughly, efficiently, and The Finger of Printing accurately any security analysis. fingerprinting techniques Analyzes techniques to avoid firewalls The Great Escape and IDSs/IPSs Explores the world of Honeypots and The Honey Potter introduces a new scenario into the test bed Adds to the test bed the virtual machines The ICE Kingdom of the DE-ICE project and a guide for solving these challenges Explores techniques and vulnerabilities In the Name of Domain based on DNS attacks Provides an analysis of malware and The War of Malware botnets and implements one in the test bed Analyzes the world of Trojans, how to Figure 3. Firewall circumvention scenario The War of Trojans detect them and how to apply effective countermeasures As an example, in “The Attack of the ICMPs” part our virtual server available on the Internet. Virtualization is again student had to analyze the vulnerabilities and attacks based on a great paradigm for this process because students can work the Internet Control Message Protocol, and the main tools used. on their vulnerable server using their own laptop, without the After the analysis a new scenario based on these techniques need to have remote access to the test bed. Once the (smurf, Man-in-the-Middle with ICMP redirects, ICMP vulnerable virtual server is ready it is uploaded to the assigned tunneling and firewalking) was incorporated to the test bed, to scenario of the LOST project infrastructure, increasing the demonstrate their implementation in a practical way. number of servers available on it. The “War of malware” module presented a detailed b) Document their vulnerability: In a second step description of each piece that composes the criminal chain that students have to demonstrate that they have the knowledge is generated through the crimeware scene. Furthermore it about how to hack their vulnerable server (VS), so they have analyzes and adds to the test bed a new scenario with malware to prepare a new lesson and a short video. The new lessons do software such as botnets, exploit kits and other stuff, that are not only verify the work done by students, showing step by used, of course, only for training purposes. step how to exploit the VS, but also increases the number of All the parts have some common goals, such as the analysis lessons and training material available in the LOST Project. of new techniques and tools, the addition of a new scenario into These videos are also published in our YouTube channel, the test bed and the preparation of new lessons that allow the giving visibility to the project and being used to encourage implementation of the tests in a guided manner. They also other students to enroll into the course. prepare a video to summarize their work that is later published in our YouTube channel [9]. This gives more visibility to the c) Conduct a Security testing: Finally, in a third project and to our students also. mission, each group is assigned a different group of IP addresses, and they have to develop a complete security test over these systems, document the results and try to hack into III. COURSE DEVELOPMENT as many systems as possible. By the time of writing this paper The IT security course has been designed to be this is not an activity of attack and anti-attack yet, as in [12], implemented in three main parts: a first period, the Training but this idea is kept in the background, and possibly will be part, where students get the basic skills on IT Security, a implemented in the next future. second one, the Challenge part, which allows them to apply these skills and go as deep as possible into security testing, and C. The Presentations the final Presentations, where final results are exposed. Before finishing the course students have to present their This course has not only been developed in the curriculum results, not only to the rest of the groups, but also to trainers of the undergraduate engineering degree in “Networking and and, the most important, to IT security companies. Across this Internet Technologies” at La Salle – Ramon Llull University, activity they get in contact with real enterprises and these but has also been integrated in a blended learning course on corporations have the opportunity to evaluate new candidates cyber security and Ethical Hacking [10]. to hire. After these sessions most of these companies showed their interest in our skilled students and arranged interviews A. The Training with them in order to evaluate them more in detail. In the first part of the course students are trained throughout all the lessons described previously using the “student’s IV. RESULTS workbook”, composed by around forty different labs. With the The results of the project must be evaluated through its knowledge they obtain they are then ready to face up the three main goals: motivation, knowledge and value. second and most challenging part of the course. With the first one, motivation, we look for engaging students in the challenging and essential world of IT security. B. The Challenge Within this training and, mainly, with the challenge, most of After the initial training period students have to them recognized and demonstrated their engagement, demonstrate the knowledge and skills acquired. In order to discovering a new vision on the IT world, something that motivate them and get the best of them our proposal for the unfortunately remains kept out of sight for a high number of IT development of the security course was to challenge them in a engineers. kind of competition or hacking contest. Based on the Project Based Learning (PBL) methodology [11] we propose them a Attending to the second objective, knowledge, we focus on Challenge Based Learning (CBL) activity, where they have to providing our students the best training to make them the most compete in groups in order to demonstrate who the best ethical qualified and skilled engineers. Here is where the final grades hackers of the year are. This activity is then divided in the next of the course verify this intention, where most of them obtain three steps: excellent qualifications. Additionally all the students are inquired at the end of the course in order to get feedback from a) Prepare a vulnerable server: The first task is to set them, and evaluate their opinion about the course and the up a vulnerable server and be able to hack into it. They can knowledge they obtain. The results of these surveys show that install a server from scratch, use any vulnerable software or they feel very comfortable with the methodology used, and application they can obtain and install, or just download any they value very positively the training and skills obtained. And last, but not least, an engineer must be a valued detection, where students will be able to compare how different professional, and what better than obtaining good feedback results can be obtained when performing an automated test from the companies that attend our students’ presentations. In compared to a manual security test. Moreover, the analysis of words of the CEO and founder of a security company “with a data gathered from a security test will be improved when totally practical and pragmatic approach to security, these ANALIA [15], the data analysis module of CONSENSUS, is presentations have given companies the opportunity to get also integrated in the test bed. ANALIA includes artificial closer to the University, when the field of ICT security is need intelligence to help analysts after a vulnerability assessment. of talent. Also, motivation and knowledge shown by students ANALIA finds resemblances within tested devices and aids throughout this course provides them advanced knowledge and analysts in the extraction of conclusions. This analysis module concepts towards the Information security, a field that is will help students to obtain a more comprehensive response increasing necessary in the business processes of companies, after a security test. governments and universities, preparing them for their future jobs.” ACKNOWLEDGMENT This work has been supported by La Salle – Ramon Llull V. CONCLUSIONS AND FUTURE WORK University. We would like to thank all the staff, teachers and This work has presented the LOST Project, an eLearning students involved in its development. environment that helps security trainers the teaching of hands- on technological knowledge on security testing and auditing We also wish to thank Pete Herzog and ISECOM for their and engages students in the security world from the Ethical support to this project, and all the IT security companies that Hacking perspective. attend our students’ presentations.
The paper has described all the building blocks of the REFERENCES project, the eLearning platform, the test bed used by the students, the management interface that allows the trainers to control what students do, the materials that students use during [1] R. Panko, “Designing a pedagogy for an IT security course and textbook”, Proceedings of the 39th Hawaii International Conference on the learning process, the list of projects and new ideas for System Science , 2006. students to develop their final thesis and the challenge to [2] http:// http://www.tenable.com/products/nessus motivate students. All this information about the project is [3] http://www.metasploit.com/ available at [13]. [4] ISECOM, “Hacking Linux Exposed 3rd Edition: Linux Security Secrets At the end the obtained results have been exposed, and how & Solutions”. McGraw-Hill, 2008. motivated, skilled and valued engineers are obtained through [5] http://www.aircrack-ng.org/ the security course developed. [6] OSSTMM, “Open Source Security Testing Methodology Manual”. http://www.isecom.org/research/osstmm.html, April 2012. Nevertheless the project is in constant evolution and [7] Moodle an Open Course Management System (CMS). improvement, where not only the students in their last year http://moodle.org/, April 2012 contribute to its development, but also the students enrolled in [8] SCORM Module, http://docs.moodle.org/22/en/SCORM/AICC_module, the security course participate increasing the number of May 2012. learning materials and resources available on it. [9] http://www.youtube.com/TelematicaLaSalleBCN [10] J. Zaballos, J. Abella, X. Canaleta, “Plan formativo híbrido New developments will provide more material and semipresencial en Cyber-Seguridad y Hacking Ético” “,VII Congreso scenarios about several topics, such as malware, IPv6 IberoAmericano de Docencia Universitaria, Oporto 2012. vulnerabilities, protocol flaws, security testing methodologies, [11] Kellar, J.J. et al, “A Problem Based Learning Approach for Freshman vulnerability scanners, denial of service (DoS) and distributed Engineering”. Proc. Frontiers in Education. F2G 7-10. Oct. 2000 DoS (DDoS) techniques, database attacks, penetration [12] D. Xiujuan, J. Zhigang, “Using Achievement-based Teaching procedures, legal issues and social hacktivism, among others. Interventions in Network Security Course”, International Conference on Computer Science and Software Engineering, 2008. Finally an already existing project, the Consensus Project [13] http://proyectos.salleurl.edu/grado-telematica/lostproject [14], has been planned to be integrated in our platform. [14] G. Corral A. Zaballos, X. Cadenas, A. Grane., “A distributed Consensus is an integrated framework that includes a vulnerability detection system for an intranet”, Proceedings of 39th computer-aided system developed to help security experts Annual 2005 IEEE International Carnahan Conference on Security during network testing and analysis. The system automates Technology, Carnahan Conference on Security Technology, IEEE, pages 291-294, 2005. mechanisms related to a security assessment in order to [15] G. Corral, E. Armengol, A. Fornells, E. Golobardes. Explanations of minimize the time needed to perform a security test based on unsupervised learning clustering applied to data security analysis. the OSSTMM. This project will provide the LOST test bed Neurocomputing, Vol 72, Issue 13-15, 2754-2762, 2009. with a distributed security system for automating vulnerability
CCN - CERT, Ciberamenazas y tendencias 2018
CCN-CERT IA-09/18
Ciberamenazas y Tendencias Edición 2018
Mayo 2018
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Edita:
Centro Criptológico Nacional, 2018
Fecha de Edición: mayo de 2018
LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicos.
Centro Criptológico Nacional SIN CLASIFICAR 2
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
ÍNDICE 1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL ...... 4 2. SOBRE EL PRESENTE INFORME ...... 4 2.1 CONTENIDO/ÁMBITO ...... 4 2.2 BASE DOCUMENTAL ...... 5 2.3 CLASIFICACIÓN Y PERIODO DE APLICACIÓN ...... 5 3. RESUMEN EJECUTIVO ...... 5 4. LOS CIBERINCIDENTES DE 2017 ...... 10 4.1 ACTIVIDADES DE CIBERCONFLICTOS/CIBERGUERRA/GUERRA HÍBRIDA ...... 10 4.2 ACTIVIDADES DIRIGIDAS A INFLUENCIAR A LA OPINIÓN PÚBLICA ...... 10 4.3 ACTIVIDADES DIRIGIDAS A LA DISRUPCIÓN DE SISTEMAS ...... 12 4.4 ACTIVIDADES DE CIBERESPIONAJE (ADQUISICIÓN DE INFORMACIÓN)...... 13 4.5 ACTIVIDADES DIRIGIDAS A OBTENER BENEFICIOS ECONÓMICOS ...... 14 5. AGENTES DE LAS AMENAZAS ...... 16 5.1 LOS ESTADOS COMO AGENTES DE LAS AMENAZAS ...... 16 5.2 PROFESIONALES DEL CIBERDELITO: CIBERDELINCUENTES...... 18 5.3 TERRORISMO Y CIBERYIHADISMO ...... 21 5.4 LOS HACKTIVISTAS EN EL CIBERESPACIO ...... 23 5.5 CIBERVÁNDALOS Y SCRIPT KIDDIES ...... 23 5.6 ACTORES INTERNOS ...... 24 5.7 ORGANIZACIONES PRIVADAS ...... 24 6. VULNERABILIDADES ...... 25 6.1 LAS VULNERABILIDADES EN LOS NAVEGADORES Y EN LA INFRAESTRUCTURA WEB ...... 25 6.2 LAS VULNERABILIDADES DEL HARDWARE Y EL FIRMWARE ...... 26 7. MÉTODOS DE ATAQUE ...... 26 7.1 SOFTWARE PARA CIBERESPIONAJE ...... 27 7.2 RANSOMWARE ...... 29 7.3 PHISHING Y SPAMMING ...... 35 7.4 CÓDIGO DAÑINO Y EXPLOITS KITS ...... 39 7.5 ATAQUES CONTRA LA INDUSTRIA DE LA PUBLICIDAD ...... 45 7.6 ATAQUES WEB ...... 45 7.7 INTERNET OF THINGS-BOTNETS ...... 49 7.8 ATAQUES DE DENEGACIÓN DE SERVICIO (DDOS) ...... 52 8. MEDIDAS ...... 56 8.1 DIRIGIDAS A LOS INDIVIDUOS: EMPLEADOS Y USUARIOS ...... 56 8.2 DIRIGIDAS A LA TECNOLOGÍA ...... 57 8.3 DIRIGIDAS A LAS ORGANIZACIONES ...... 60 8.4 EL MARCO ESTRATÉGICO Y LEGAL ...... 61 8.5 LA ACTIVIDAD DEL CCN-CERT ...... 67 8.6 LA ACTIVIDAD EUROPEA ...... 79 9. TENDENCIAS ...... 81
Centro Criptológico Nacional SIN CLASIFICAR 3
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
1. SOBRE CCN-CERT, CERT GUBERNAMENTAL NACIONAL El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo con esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier Organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.
2. SOBRE EL PRESENTE INFORME Buena parte de la información aquí recogida es el resultado de la experiencia del CCN-CERT durante los meses precedentes a su publicación en el desarrollo de sus competencias.
2.1 Contenido/Ámbito
Este documento contiene un análisis de las ciberamenazas, nacionales e internacionales, de su evolución y tendencias futuras. Ha sido realizado con el propósito de resultar de utilidad para los responsables de seguridad TIC de las entidades públicas españolas, las organizaciones de interés estratégico y, en general, a los profesionales y ciudadanos de nuestro país.
Centro Criptológico Nacional SIN CLASIFICAR 4
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Aunque el ámbito del presente Informe es mundial, se ha hecho más énfasis en los países del entorno europeo y occidental. No obstante, en determinados epígrafes se han realizado acotaciones específicas para España y sus intereses en el extranjero, con especial incidencia en las redes y sistemas de información de las entidades del Sector Público español y sus Infraestructuras Estratégicas.
2.2 Base documental
La información que ha servido de base para la confección del presente Informe proviene de diferentes fuentes: documentos internos del CCN y de sus organismos homólogos internacionales (especialmente de la Unión Europea, de EE.UU. y de los socios y aliados de España), documentos públicos emanados de las unidades especializadas de los organismos públicos españoles, documentación de terceros (empresas y organizaciones privadas) y, finalmente, estudios y trabajos de profesionales del sector privado y miembros de la Academia. A todos ellos, un año más, nuestro agradecimiento.
2.3 Clasificación y periodo de aplicación
El presente Informe se publica “SIN CLASIFICAR”, no estando sujeto, por tanto, a las restricciones relativas a la información clasificada. Los datos referidos al cuarto apartado, titulado “Los Ciberincidentes de 2017”, comprenden el año natural 2017 e incluye, en algún caso y para mejor comprensión de la evolución de los hechos citados, varios datos relativos al último semestre de 2016 y los primeros meses de 2018. Sin embargo, será oportuno esperar al desarrollo y evolución en los próximos meses de las cuestiones citadas en el apartado “Tendencias.
3. RESUMEN EJECUTIVO A finales de 2017, el número de usuarios de Internet en todo el mundo se acercaba a los cuatro mil millones de personas, sobre un total estimado de más de siete mil millones y medio de habitantes. Por tanto, más de la mitad de los habitantes de nuestro planeta ya son usuarios de Internet. Unas cifras que se pueden ver desglosadas por ubicación geográfica en la siguiente figura1:
1 Fuente: Internet World Stats. (Véase: http://www.internetworldstats.com/stats.htm)
Centro Criptológico Nacional SIN CLASIFICAR 5
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
La figura siguiente muestra la relación impacto/probabilidad de los ciberataques, dentro de los riesgos globales considerados por el World Economic Forum. Como puede observarse, el WEF sitúa a este riesgo entre los más significativos.
La evolución en el tiempo de los riesgos señalados por el WEF se muestra en el cuadro siguiente. Obsérvese cómo los Ciberataques vuelven a situarse entre los primeros motivos de preocupación para este organismo internacional en términos de probabilidad.
Centro Criptológico Nacional SIN CLASIFICAR 6
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Centro Criptológico Nacional SIN CLASIFICAR 7
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por su parte, los hallazgos más significativos en materia de ciberseguridad en 2017 son: Hallazgos más significativos de 2017 ● Los actores estatales y los criminales profesionales continúan siendo la amenaza más importante, causando el mayor daño2. ● Los ciberataques se han utilizado para influir en los procesos democráticos3. ● La ciberguerra, los ciberconflictos y la guerra híbrida se hacen cada día más presentes en el mundo, siempre apoyados por acciones en el ciberespacio4. ● Las vulnerabilidades de Internet of Things han propiciado la existencia de ataques disruptivos que justifican la necesidad de mejorar la resiliencia digital5. ● Muchas organizaciones dependen de un número limitado de proveedores extranjeros de servicios de infraestructuras digitales, lo que significa que el impacto social de eventuales interrupciones podría ser notable6. ● La capacidad de recuperación de las personas y las organizaciones sigue a la zaga de las crecientes amenazas7.
Como en anteriores ediciones, el cuadro de la figura siguiente esquematiza y actualiza los agentes de las amenazas más significativos durante 2017, la tipología de sus acciones y sus víctimas8.
2 Los actores estatales han intensificado sus esfuerzos en acciones de sabotaje digital y espionaje económico y político. Además, durante 2017 se han centrado en influir digitalmente en los procesos democráticos al objeto de obtener beneficios geopolíticos. A nivel mundial, más de 100 países se dedican al espionaje utilizando tecnología y herramientas digitales. Por otro lado, la escalabilidad casi ilimitada de los ataques propicia que invertir en cibercrimen sea una propuesta muy atractiva para los delincuentes, en permanente crecimiento y focalizándose en las grandes empresas, con el propósito de obtener beneficios económicos. 3 Por ejemplo, los ciberataques dieron lugar a filtraciones de información sobre las elecciones presidenciales de EE. UU. Además de ello, varios países han observado cómo tales ataques han podido influir en los procesos democráticos o cómo lo han intentado. 4 El concepto de “guerra híbrida” busca debilitar a las democracias interfiriendo en sus procesos electorales y alimentando sus conflictos internos, sean ideológicos o territoriales, valiéndose para ello de instrumentos como las noticias falsas o la manipulación de las redes sociales. 5 Los costes y beneficios de la ciberseguridad no siempre recaen en los mismos actores: la explotación de las vulnerabilidades de dispositivos puede ocasionar daños a terceros que no sean sus usuarios. Internet of Things es una muestra de lo que decimos. Muchos de estos dispositivos contienen vulnerabilidades para las que no se publican actualizaciones de seguridad. En varias ocasiones, durante el periodo considerado, se explotaron dispositivos vulnerables para realizar ataques DDoS a gran escala utilizando botnets y provocando significativas interrupciones. Por regla general, los usuarios de los dispositivos no son los que sufren las consecuencias sino los objetivos atacados. El hecho de que estos ataques podrían haber sido perpetrados por cibervándalos muestra que no solo sofisticados delincuentes profesionales o actores estatales pueden llevar a cabo ataques disruptivos. 6 Muchos países -España, entre ellos- dependen en gran medida de los servicios de un número limitado de proveedores extranjeros de infraestructura de Internet, tales como Amazon Web Services, Microsoft o Google. Aunque los principales proveedores de tales servicios tienen significativos recursos para hacer frente a los ataques, el impacto social de las interrupciones es muy significativo porque son muchos los servicios que dependen de un pequeño número de proveedores. 7 Las medidas adoptadas por organizaciones y ciudadanos para mejorar su resiliencia digital son, todavía, limitadas. El crecimiento en el número de ciberincidentes señala que la resiliencia de los países occidentales sigue por detrás del crecimiento de las amenazas. 8 Fuente: Cyber Security Assessment Netherlands. CSAN 2017 y elaboración propia.
Centro Criptológico Nacional SIN CLASIFICAR 8
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Víctimas Agentes de las Sector Público Organizaciones privadas Ciudadanos amenazas Estados Ciberespionaje político Ciberespionaje económico Ciberespionaje Ciberconflictos / Ciberguerra / Guerra híbrida Guerra híbrida Capacidades ofensivas. Capacidades ofensivas Sustracción y publicación de Sustracción y publicación de información información Perturbación del Fake News funcionamiento de instituciones o procesos democráticos Organizaciones Disrupción de sistemas Disrupción de sistemas Disrupción de sistemas criminales Robo y publicación o venta de Robo y publicación o venta de Robo y publicación o venta información información de información Manipulación de la Manipulación de la información Manipulación de la información información Toma de control de sistemas Toma de control de sistemas Toma de control de sistemas Organizaciones Sustracción de información Abuso comercial o reventa privadas (Ciberespionaje industrial) de información corporativa Ciberterroristas Disrupción / toma de control Disrupción / toma de control de (incluyendo a los de sistemas sistemas ciberyihadistas o Ataque a Infraes. Críticas Ataque a Infraes. Críticas grupos terroristas de Propaganda / Obtención de Propaganda / Obtención de info. Propaganda / Obtención de motivación info. / Reclutamiento / / Reclutamiento / info. / Reclutamiento / ideológica o Radicalización / Financiación Radicalización / Financiación Radicalización / religiosa) Financiación Ciberactivismo Robo y publicación de Robo y publicación de información información Desfiguraciones Desfiguraciones Disrupción de sistemas Disrupción de sistemas Toma de control de sistemas Toma de control de sistemas Toma de control de sistemas Civervándalos y Robo de información Robo de información Robo y publicación de script kiddies información Disrupción de sistemas Disrupción de sistemas Actores internos Robo y publicación o venta de Robo y publicación o venta de información información Disrupción de sistemas Disrupción de sistemas Ciber-investigadores Publicación de información Publicación de información Publicación de información
Código de colores: No han aparecido nuevas Se han observado nuevas Existen claros desarrollos amenazas. tendencias o fenómenos relacionados con la amenaza o asociados con la amenaza. o Existen suficientes medidas o Las medidas desplegadas para eliminar la amenaza Existe un conjunto de medidas tienen un efecto limitado en o limitadas para eliminar la la amenaza No han existido incidentes amenaza o apreciables derivados de la o El número de incidentes amenaza. El número de incidentes derivados de la amenaza ha derivados de la amenaza no ha sido significativo sido especialmente significativo
Centro Criptológico Nacional SIN CLASIFICAR 9
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
4. LOS CIBERINCIDENTES DE 2017 En los siguientes epígrafes se desarrollan los ciberincidentes más significativos de 2017, agrupados por las motivaciones de los agentes de las amenazas.
4.1 Actividades de Ciberconflictos/Ciberguerra/Guerra híbrida
El año 2017 ha sido testigo de la explotación que se ha hecho de información obtenida a través de ataques de este tipo con el objeto de influir en la opinión pública o de las perturbaciones que los agentes de las amenazas -en muchas ocasiones, patrocinados por estados- han realizado sobre procesos electorales o al socaire de situaciones de conflicto. En la mayoría de las ocasiones las víctimas han sido instituciones democráticas o partidos políticos de muchos países del mundo, España entre ellos9. Ha quedado claro que la sustracción digital, la publicación de información o la intoxicación de los medios de comunicación o las redes sociales se ha utilizado profusa y estratégicamente por actores estatales con el objetivo de desestabilizar a otros Estados y polarizar a la población civil. Este tipo de actividades contempla una gran variedad de herramientas, entre ellas: ● Diplomacia y acciones de inteligencia tradicional ● Actos subversivos y de sabotaje ● Influencia política y económica ● Instrumentalización del crimen organizado ● Operaciones psicológicas ● Propaganda y desinformación
Los dos últimos tipos de acciones han sido los más frecuentemente utilizados en el periodo considerado.
4.2 Actividades dirigidas a influenciar a la opinión pública
En esta línea, y buscando perturbar e influir en procesos democráticos, el partido político alemán CDU; el movimiento En Marche!, del presidente francés Emmanuel Macron; y el Partido Demócrata Americano fueron víctimas en 2017 de ataques digitales de este tipo. Se trataba de ataques dirigidos a las vulnerabilidades personales de los votantes y no a ninguna (posible) vulnerabilidad del proceso de votación.
9 Parece demostrada la presencia de activistas patrocinados por instituciones rusas en la expresión mediática del conflicto derivado de la situación creada en Cataluña durante 2017, como consecuencia del alejamiento de la legalidad constitucional vigente de ciertas instituciones autonómicas catalanas.
Centro Criptológico Nacional SIN CLASIFICAR 10
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En Francia, un importante volumen de correos electrónicos y documentos del citado movimiento del entonces candidato presidencial Emmanuel Macron se publicó online poco antes de las elecciones presidenciales de mayo de 2017. Ya en diciembre de 2016, el movimiento había detectado que sus miembros estaban siendo atacados por una campaña de phishing-email10. La compañía de seguridad TrendMicro anunció en mayo de 2016 que el partido de la canciller alemana Angela Merkel (CDU) había sido víctima de ciberataques. Igual que en el caso anterior, los empleados de la CDU recibieron correos electrónicos de spear phishing que, en este caso, apuntaban a una falsa pantalla de inicio de sesión utilizada en el servicio de correo web, con el objeto de adquirir las credenciales de inicio de sesión. No está claro si el ataque tuvo o no éxito11. Por su parte, tal y como se señaló en el informe del pasado año, en el verano de 2016 se anunció que el Partido Demócrata de Estados Unidos había sufrido una serie de ataques que había permitido la sustracción de material políticamente sensible. Según los servicios de inteligencia norteamericanos, los ataques fueron parte de una campaña originada por actores rusos destinada a influir en las elecciones presidenciales12, en la toma de decisiones y en la opinión pública.
En enero de 2017, el FBI anunció que el Partido Republicano también había sido blanco de ciberataques, aunque la información sustraída no se había filtrado al exterior. Según el FBI, se utilizó un sistema de correo electrónico perteneciente al Comité Nacional Republicano (RNC) que ya no estaba en uso13. No había constancia de que hubiera habido con anterioridad un intento a esta escala de influir en las elecciones estadounidenses con ataques digitales contra sus instituciones democráticas.
10 Véase: https://www.nytimes.com/2017/05/09/world/europe/hackers-came-but-the-french-were-prepared.html 11 Véase: http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-targets-german-christian-democratic-union/ y https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/espionage-cyber-propaganda-two-years-of-pawn-storm 12 Véase: https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/ , https://www.washingtonpost.com/world/national-security/cyber-researchers-confirm-russian-government-hack-of- democraticnational-committee/2016/06/20/e7375bc0-3719-11e6-9ccd-d6005beac8b3_story.html , https://www.fireeye.com/blog/threat-research/2017/01/apt28_at_the_center.html y https://www.dni.gov/files/documents/ICA_2017_01.pdf 13 Véase: http://edition.cnn.com/2017/01/10/politics/comey-republicans-hacked-russia/
Centro Criptológico Nacional SIN CLASIFICAR 11
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Así, en diciembre de 2017, el gobierno norteamericano anunció medidas diplomáticas contra Rusia14, aunque han negado repetidamente la participación en los ataques15; del mismo modo que lo hizo el presunto atacante, autodenominado Guccifer 2.016.
4.3 Actividades dirigidas a la disrupción de sistemas
En el verano de 2016, la botnet Mirai infectó decenas de miles de dispositivos de consumidores en Internet of Things (IoT)17. El proveedor francés OVH de servicios de hosting fue también fue víctima de Mirai. Los sitios web de los clientes de OVH se ralentizaron o estuvieron temporalmente indisponibles18. Por otro lado, la botnet LizardStresser fue responsable, a principios de 2016, de varios ataques, sirviéndose también de IoT infectados. Aunque la utilización de grandes botnets no es algo novedoso, sí lo es el hecho de que ambas utilizaran dispositivos IoT de consumidores finales para perpetrar significativos ataques DDoS19. El 21 de octubre el proveedor Dyn (que da servicio de DNS al 14% de los dominios mundiales más importantes -entre ellos Twitter, Spotify o Netflix-) fue víctima de una campaña de ataques DDoS usando botnets que compartían el código fuente de Mirai20. En la noche del 17 al 18 de diciembre de 2016 se produjo un corte de energía de una hora de duración, aproximadamente, en varios distritos de Kiev. La compañía energética ucraniana Ukrenergo informó de que el corte de energía había sido causado por un ciberataque21. En enero de 2017 los investigadores de seguridad de ISSP y Honeywell confirmaron que, efectivamente, había sido un ciberataque, al igual que el ataque del año anterior22. El objetivo habría sido probar técnicas de ataque usando la estación de distribución eléctrica ucraniana como campo de pruebas23. En el mismo
14 Véase: https://www.whitehouse.gov/the-press-office/2016/12/29/statement-president-actions-response-russian-malicious- cyber-activity 15 Véase: http://www.reuters.com/article/us-usa-election-hack-russia-idUSKCN0Z02EK y https://www.usnews.com/news/world/articles/2016-12-15/russian-officials-deny-vladimir-putins-involvement-in-election-hacking 16 Véase: https://guccifer2.wordpress.com/2017/01/12/fake-evidence 17 Véase: https://en.blog.nic.cz/2016/09/01/telnet-is-not-dead-at-least-not-on-smart-devices/ 18 Véase: https://www.ovh.com/us/news/articles/a2367.the-ddos-that-didnt-break-the-camels-vac 19 Aunque la autoría no está clara, el colectivo hacktivista “New World Collective” se responsabilizó de los ataques. 20 Véase: https://www.nytimes.com/2016/12/13/us/politics/house-democrats-hacking-dccc.html 21 Véase: http://ics.sans.org/blog/2016/12/20/how-do-you-say-ground-hog-day-in-ukrainian y http://www.reuters.com/article/us-ukraine-cyber-attack-energy-idUSKBN1521BA 22 Véase: 2 https://www.slideshare.net/MarinaKrotofil/new-wave-of-attacks-in-ukraine-2016 23 Véase: https://motherboard.vice.com/read/ukrainian-power-station-hacking-december-2016-report
Centro Criptológico Nacional SIN CLASIFICAR 12
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
período, Reuters informó de diferentes ataques contra los Ministerios de Finanzas y Defensa de Ucrania24. Según las investigaciones, en casi todos los casos las infecciones habrían ocurrido al abrir correos electrónicos de phishing. De forma similar, las redes de energía eléctrica de Arabia Saudí, así como ciertas agencias gubernamentales y parte del sector financiero, también fueron víctimas de ciberataques en 2017, empleándose para ello el código dañino Shamoon25.
4.4 Actividades de ciberespionaje (adquisición de información)
En 2017 las agencias gubernamentales holandesas AIVD (Servicio General de Inteligencia y Seguridad) y MIVD (Servicio Militar de Inteligencia y Seguridad) sufrieron varios ataques persistentes y a gran escala de ciberespionaje26. En algún caso, ataques dirigidos a empresas con un alto nivel en I+D+i tuvieron éxito, siendo capaces de exfiltrar información comercial confidencial. Esta problemática ha afectado durante 2017 a todos los países de nuestro entorno occidental. Varias han sido las campañas de ciberespionaje de motivación económica que se han venido desplegando durante años27 y la mayoría ha atacado repetidamente a varias empresas españolas o residenciadas en España. Importantes datos de investigaciones avanzadas en materia de tecnologías de la información, marítima, energética y de la Defensa se han exfiltrado en estos ataques, además de datos personales, en ciertos casos. Como se ha repetido, tales ataques son una amenaza para el desarrollo económico y la capacidad de defensa militar y confirman el interés de los atacantes en la información sensible de las empresas e instituciones españolas y, en general, occidentales28. Una electrónica vulnerable dirigida al consumidor final también ha contribuido al despliegue de ataques de este tipo.
24 Véase. http://www.reuters.com/article/us-ukraine-crisis-cyber-idUSKBN14I1QC
25 Véase: https://securingtomorrow.mcafee.com/business/shamoon-returns-bigger-badder/
26 También el Ministerio de Asuntos Exteriores y el Ministerio de Defensa fueron atacados varias veces, incluso -así se manifestó- por países que no habían sido identificados previamente como una amenaza para las redes del gobierno holandés. 27 Un ejemplo: LinkedIn fue atacado en 2012, exfiltrándose datos de las cuentas de 167 millones de usuarios (nombres, direcciones de correo electrónico y los hash de las contraseñas). En mayo de 2016, tal conjunto de datos se puso a la venta públicamente. En junio de 2016, Fox-IT informó sobre campañas de phishing en algunos países, personalizadas según los datos obtenidos de LinkedIn. 28 Algunos ejemplos: En junio de 2016, el periódico Volkskrant publicó un artículo sobre el ciberataque a la empresa de defensa germano-holandesa Rheinmetall. Según el periódico, agentes chinos habrían estado atacando a esta compañía desde 2012. Por otro lado, en diciembre de 2016, se anunció que se había sustraído información comercial sensible de la empresa alemana ThyssenKrupp como consecuencia de varios ciberataques a principios de ese año.
Centro Criptológico Nacional SIN CLASIFICAR 13
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por ejemplo, el iPhone del activista de derechos humanos Ahmed Mansoor fue atacado en agosto de 2016 utilizándose tecnología gubernamental de vigilancia. La instalación del software espía Pegasus permitió al atacante espiar el micrófono, la cámara y las comunicaciones, así como seguir los movimientos del teléfono.
En este ataque investigadores de seguridad descubrieron tres vulnerabilidades desconocidas en algunos productos de Apple con un valor de mercado estimado de un millón de dólares. Esto provocó la reacción de la compañía estadounidense, que tuvo que implementar la correspondiente actualización crítica de seguridad en todo el mundo29.
Otros productos dirigidos a consumidores finales, aunque menos sofisticados, también son vulnerables. Así lo demostró una investigación realizada por la Asociación de Consumidores de Noruega, que reveló que los agentes de las amenazas habían usado la muñeca infantil 'My Friend Cayla' como dispositivo de escucha30.
4.5 Actividades dirigidas a obtener beneficios económicos
Los proveedores de servicios gestionados señalan que las medidas de prevención y respuesta al ransomware se han convertido en uno de los ejes centrales de su preocupación. Lo que más allá de la práctica generalizada de la realización de copias de seguridad evidencia que la resiliencia a las infecciones por ransomware aún deja mucho que desear.
29 Véase: https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/ y https://support.apple.com/en-us/HT207130
30 Véase: https://www.forbrukerradet.no/siste-nytt/connected-toys-violate-consumer-laws
Centro Criptológico Nacional SIN CLASIFICAR 14
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por ejemplo, en marzo de 2017, la Cámara de Representantes holandesa tuvo problemas con una infección por ransomware, distribuida por correo electrónico a varios miembros del Parlamento31. El denominado “fraude al CEO” parece estar en aumento en todos los países, especialmente en el sector financiero, donde los proveedores de servicios gestionados también informaron en 2017 de un aumento en el número de intentos de acciones de esta clase. En este tipo de fraude los delincuentes intentan que el departamento financiero de una organización deposite dinero en la cuenta de un cómplice mediante un correo electrónico que pretende ser de un Directivo o Jefe de Departamento. Para ello utilizan nombres de dominio muy similares al nombre de dominio de la empresa en cuestión. Los ciberataques a entidades financieras continúan y el 7 de noviembre de 2016 Tesco Bank suspendió los medios de pago online a todos los titulares de sus cuentas tras detectarse 9.000 transacciones fraudulentas por un valor total de 2,5 millones de libras esterlinas32 en los días anteriores. El 3 de febrero de 2017 investigadores informaron sobre una serie de infecciones de malware en el sector financiero polaco. Los delincuentes parecían haber utilizado el sitio web del Supervisor Financiero como la fuente principal para la distribución de malware (Watering hole) a los sistemas internos de varios bancos33. En enero de 2017, la policía italiana detuvo a dos individuos sospechosos de ciberpiratería. Los cuerpos policiales señalaron que los individuos querían invertir basándose en la información robada. En el ataque se habrían visto comprometidas cuentas pertenecientes a despachos jurídicos, inversores, sindicatos, la propia policía, funcionarios del Ministerio de Asuntos Económicos y el Vaticano, entre otras34. La compañía Kaspersky analizó el malware utilizado en el ataque, calificando a los acusados como unos “aficionados muy efectivos”35. Investigadores de seguridad de la empresa MedSec trabajaron en conjunto con la compañía inversora Muddy Waters LLC para estudiar las vulnerabilidades en los marcapasos del American St. Jude Medical. La compañía inversora Muddy Waters LLC especuló sobre una caída anticipada en las cotizaciones en la bolsa tras la publicación
31 Véase: https://twitter.com/KeesVee/status/846613127559106560 y http://nos.nl/artikel/2165391-software-die-computers- gijzelt-aangetroffen-in-tweede-kamer.html
32 Véase: https://www.theguardian.com/business/2016/nov/08/tesco-bank-cyber-thieves-25m
33 Véase: https://baesystemsai.blogspot.nl/2017/02/lazarus-watering-hole-attacks.html
34 Véase: http://www.reuters.com/article/us-italy-cybercrime-idUSKBN14U1K2?il=0
35 Véase: https://blog.kaspersky.com/eyepyramid-spyware/13838/
Centro Criptológico Nacional SIN CLASIFICAR 15
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
de un informe que daba cuenta de estas vulnerabilidades, lo que dio lugar a un proceso penal36. Las vulnerabilidades descubiertas podrían haberse usado para interferir en el funcionamiento de marcapasos y desfibriladores. Pese a las medidas adoptadas, la American Food&Drugs Administration (FDA) remitió en abril de 2017 una advertencia al St. Jude Medical señalando que las medidas para mejorar la seguridad no habían sido suficientes37.
5. AGENTES DE LAS AMENAZAS En este epígrafe van a examinarse los agentes de las amenazas que de forma intencionada han desarrollado -o pretendido- ataques durante el periodo temporal considerado. Centrando la atención en la intención perseguida, en sus capacidades y en los cambios que se han observado respecto de comportamientos precedentes. Como siempre, la atribución, esto es, determinar con precisión quién está detrás de un ciberataque, puede ser muy complicado: no solo por la propia dificultad intrínseca de la operación, sino, especialmente, cuando el autor deja tras de sí pistas falsas tratando de garantizar su ocultación. A principios de 2017, se comprobó que ciertos grupos de atacantes de entidades financieras habían utilizado textos en ruso dentro de su código dañino -que incluían significativos errores gramaticales, lo que dejaba claramente en entredicho este origen geográfico-. Otra realidad que dificulta la atribución de la autoría se da cuando varios actores usan herramientas similares. Finalmente, en muchas ocasiones, la intención final de un actor en un ataque no siempre está clara. Por ejemplo, un ataque DDoS puede tener lugar para interrumpir procesos, pero también como excusa para realizar otras actividades (como el chantaje, por ejemplo).
5.1 Los Estados como agentes de las amenazas
Crecimiento y especialización del ciberespionaje En los últimos años, ha crecido enormemente el número de países que ha adquirido la capacidad de recopilar inteligencia del ciberespacio. El ciberespionaje es un método relativamente económico, rápido y con menos riesgos que el espionaje tradicional porque, dada la dificultad de atribución de la autoría, siempre cabe la posibilidad de negar su uso. Durante 2017, las agencias gubernamentales de muchos países del mundo -incluyendo España- fueron repetidamente víctimas de persistentes
36 Véase: http://www.muddywatersresearch.com/research/stj/mw-is-short-stj/ y https://www.theregister.co.uk/2016/09/07/st_jude_sues_over_hacking_claim/
37 Véase: https://threatpost.com/fda-demands-st-jude-take-action-on-medical-device-security/124972/ y https://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2017/ucm552687.htm
Centro Criptológico Nacional SIN CLASIFICAR 16
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
ataques de espionaje digital a gran escala, originados en terceros países, incluidos algunos que no habían sido previamente identificados como una amenaza para las redes de los gobiernos atacados. Puede afirmarse que en la actualidad más de 100 países tienen la capacidad de desarrollar ataques de ciberespionaje y su especialización sigue creciendo, de la misma manera que lo hace la amenaza que representa. Esta amenaza, utilizada principalmente por Servicios de Inteligencia, está dirigida tanto al sector público como al privado y suele provenir de países que desean posicionarse de manera más favorable, desde los puntos de vista político, estratégico o económico.
La inversión creciente de los estados en capacidades ofensivas Los Servicios de Inteligencia occidentales han identificado que muchos países están invirtiendo en la creación de capacidades digitales ofensivas (esencialmente: ciberguerra o “guerra híbrida”). El objetivo parece claro: influir en las operaciones de información. Así, se atacan cuentas de usuario para recabar información confidencial que luego se publica por un tercero (aparentemente) independiente, con el objetivo de sembrar confusión y división en los oponentes. Además de ello, se ha evidenciado que muchos países están invirtiendo notablemente en la creación de capacidades digitales destinadas a un (eventual o futuro) sabotaje de procesos críticos. Los ciberataques a las centrales eléctricas ucranianas en diciembre de 2015 fueron seguidos en el mismo mes del año siguiente por un nuevo ataque a la infraestructura crítica ucraniana. En Arabia Saudí, por su parte, varias agencias gubernamentales y empresas han sido también víctimas del código dañino Shamoon 2.038. Estas acciones ilustran tanto el potencial de los ciberataques para infligir daño político y físico, como la disposición de los estados para usar estas herramientas. La ocultación de los atacantes también se ha profesionalizado. Los Servicios de Inteligencia han observado que varios actores estatales están utilizando estructuralmente compañías privadas de TI como tapaderas para disfrazar sus actividades de espionaje. Además de ello, es sabido que las empresas de TI y las instituciones académicas son utilizadas por muchos estados para desarrollar código dañino, lo que incrementa el potencial de los actores estatales para perpetrar ciberataques.
38 Según señaló el Ministro de Asuntos Exteriores, más de 9000 ordenadores fueron infectados en Arabia Saudí.
Centro Criptológico Nacional SIN CLASIFICAR 17
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
A la búsqueda de nuevos métodos Los actores estatales -análogamente a las organizaciones delincuenciales- se encuentran en una permanente búsqueda de nuevos métodos que les permitan infiltrarse en las redes sin ser detectados, muchas veces en combinación con los métodos tradicionales. Aunque buena parte de los ciberatacantes aún usan memorias USB y mecanismos de spear phishing o Watering hole para obtener acceso a una red informática a través de infecciones previas de código dañino, los métodos de los estados son cada vez más sofisticados y, en consecuencia, más difíciles de detectar. En la actualidad, los esfuerzos parecen centrarse en el hardware, los routers, o en la inyección de malware a través de redes wifi, siendo así que un ataque podría, incluso, estar libre de código dañino. No olvidemos que los protocolos en los que se soporta la funcionalidad de Internet fueron diseñados originalmente para transportar datos de la manera más eficiente posible, sin prestar demasiada atención a la seguridad. No sería extraño que los estados dirigiesen su atención a explotar las vulnerabilidades en estos protocolos para sustentar el ciberespionaje. Finalmente, una infraestructura TI desarrollada sigue siendo atractiva como puerto de tránsito para los ciberataques. Los Servicios de Inteligencia han detectado varios actores estatales que explotan la infraestructura tecnológica de determinados países europeos para atacar a terceros países, convirtiéndose en cómplices involuntarios de tales acciones que persiguen perturbar los intereses económicos, militares y políticos de aquellos países.
5.2 Profesionales del ciberdelito: Ciberdelincuentes.
La amenaza que las organizaciones profesionalizadas en el ciberdelito representan para la seguridad de todo el mundo continúa creciendo a un ritmo acelerado. Los ciberdelincuentes siguen explorando incesantemente “modelos de negocio” más lucrativos, desarrollando nuevos escenarios y atacando objetivos cada vez menos tradicionales. La diversificación delincuencial al socaire del ransomware El desarrollo de nuevos métodos de ataque se está evidenciando, entre otros, en nuevos y más lucrativos modelos de ingresos por ransomware39. Además de los ataques no dirigidos (sin una víctima concreta), los ciberdelincuentes están empleando el ransomware, cada vez con mayor frecuencia, para atacar a aquellas organizaciones
39 Véase: http://www.itpro.co.uk/security/26993/ransomware-is-the-most-profitable-cybercrime y https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml
Centro Criptológico Nacional SIN CLASIFICAR 18
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
concretas en las que el impacto de un ataque de este tipo sería mayor y, en consecuencia, más inclinadas a satisfacer un rescate de mayor cuantía40.
En 2017, esta tendencia se confirmó en todo el mundo, poniendo el foco, especialmente, en las escuelas, los hospitales y otras instituciones sanitarias41.
Además de lo anterior, estos ataques tienen también un significativo impacto en la vida cotidiana, puesto que procesos o servicios habituales pueden, asimismo, verse afectados42. Diferentes equipos de investigación han demostrado que el ransomware también puede usarse contra los Sistemas de Control Industrial (ICS) y, como se ha señalado con anterioridad, la electrónica de consumo -como parte del Internet of Things43-. Por todo ello, es de esperar que los ciberdelincuentes apunten también a estas áreas en un futuro próximo. Mayor frecuencia y sofisticación en los ataques a las entidades financieras Con mayor frecuencia que en años precedentes, los ciberdelincuentes han dirigido sus ataques contra los sistemas de empresas, bancos y otras instituciones financieras (los llamados objetivos de alto valor), en lugar de dirigirse solo a los consumidores y analizando cómo explotar al máximo el acceso a la red y convertir tal acceso en dinero. El incremento de la sofisticación de tales ataques también ha sido más que evidente44.
40 Véase: https://www.wired.com/2017/02/ransomware-turns-big-targets-even-bigger-fallout/
41 Véase: http://money.cnn.com/2016/04/04/technology/ransomware-cybercrime/ , https://krebsonsecurity.com/2016/11/computer-virus-cripples-uk-hospital-system/ y http://www.csoonline.com/article/3099852/security/health-care-organizations-114-times-more-likely-to-be-ransomware- victimsthan-financial-firms.html
42 Algún ejemplo de esto fueron los ataques ransomware que afectaron al sistema de pago en el transporte público de San Francisco (véase: http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/ y https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/#more-37060) y el ataque a los sistemas en un hotel austriaco que impidió que las tarjetas de acceso funcionaran (Véase: https://motherboard.vice.com/en_us/article/luxury- hotel-goes-analog-to-fight-ransomware-attacks)
43 Véase: http://www.securityweek.com/simulation-shows-threat-ransomware-attacks-ics
44 Véase: FireEye: M-Trends 2017.
Centro Criptológico Nacional SIN CLASIFICAR 19
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Varios bancos europeos han sido blanco de los cibercriminales en 2017. La entidad británica Tesco anunció la suspensión temporal de todas las transacciones on- line después de que 9.000 de sus clientes fueran víctimas de transferencias fraudulentas45. Además, un grupo delictivo, autodenominado Cobalt, se infiltró en las redes de un par de bancos europeos. Días más tarde, una gran cantidad de cajeros automáticos se vaciaron usando mulas46.
Además de todo ello, se han perpetrado robos en diferentes bancos de todo el mundo, obteniendo y explotando el acceso al sistema SWIFT (pago). Varias empresas de investigación han sugerido la participación de Corea del Norte en tales ataques47.
En septiembre de 2016, en respuesta a los ataques, SWIFT anunció los requisitos globales de seguridad de la información para los bancos adheridos48. Finalmente, grupos
45 Véase: https://yourcommunity.tescobank.com/t5/News/Message-for-Current-Account-customers/td-p/6599
46 Véase: http://www.reuters.com/article/us-cyber-banks-atms-idUSKBN13G24Q?il=0
47 Véase: https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0
48 Véase: https://www.swift.com/news-events/news/swift-launches-new-anti-fraud-payment-control-service-for-customers
Centro Criptológico Nacional SIN CLASIFICAR 20
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
de ciberdelincuentes también explotaron el acceso a los sistemas de un banco en Liechtenstein para extorsionar a los titulares de cuentas extranjeras49.
La conclusión de todo ello parece clara: aunque los ataques dirigidos consumen más tiempo y recursos a los delincuentes, la ganancia económica es mayor que los simples e innominados ataques a los consumidores.
5.3 Terrorismo y ciberyihadismo
Los grupos yihadistas, junto con el uso de Internet por grupos terroristas, constituyen en la actualidad la principal amenaza de este tipo. En los últimos meses de 2016 y durante 2017, las manifestaciones en el ciberespacio de acciones de ciberterrorismo de raíz fundamentalista fueron principalmente debidas a simpatizantes de Daesh-ISIS. Intención de montar ataques cibernéticos Aunque los yihadistas todavía no parecen ser capaces de desarrollar ciberataques sofisticados, no es menos cierto que el Daesh, parece estar decidido a desarrollar esta vía de agresión, aun cuando, hasta el momento, los resultados más evidentes han sido las desfiguraciones50 y los ataques DDoS51, todos ellos de naturaleza propagandística. Estas características también se encuentran en las listas que han
49 Véase: https://www.theregister.co.uk/2016/11/29/liechtenstein_bank_breaches/
50 Véase, por ejemplo, 'Western Countries | Understanding pro-IS hacking capabilities', Risk Advisory, 27 de Septiembre de 2016. (https://news.riskadvisory.net/2016/27/western-countries-understanding-pro-is-hacking-capabilities/ )
51 Véase: ‘United Cyber Caliphate Maken Threats in “Message to America,” Claims DDoS Attacks’, Site Intelligence Group, 27 de Diciembre de 2016.
Centro Criptológico Nacional SIN CLASIFICAR 21
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
publicado, conteniendo información sobre individuos a los que el autoproclamado Estado Islámico animaba a asesinar y que el movimiento terrorista afirmó haber obtenido mediante ciberataques52. No obstante, gran parte de la información publicada podía encontrarse en Internet53. Además de lo anterior, los grupos yihadistas también pretenden desarrollar ciberataques dirigidos al desenvolvimiento diario de los ciudadanos mediante tácticas violentas o en la perturbación social, aunque no se han producido manifestaciones en tal sentido. Según las estimaciones de los expertos, los ciberyihadistas -y los terroristas en un sentido más amplio- aún no son capaces de organizar ataques sofisticados y complejos54. No obstante, su poder ofensivo unido a su capacidad para el reclutamiento podría aumentar como consecuencia de la constitución por un buen número de activistas y grupos de activistas radicales del “United Cyber Caliphate”55, ganando experiencia con el acometimiento de ciberataques simples. Por otro lado, la presencia de productos y servicios para desarrollar ciberataques, fácilmente accesibles en foros concretos, incrementa la preocupación, por lo que tal realidad supondría la reducción del umbral de ataque yihadista. Sea como fuere, lo que parece demostrado es que el Dáesh, en comparación con años precedentes, cuenta con menos fondos que hacen menos creíbles las oportunidades económicas para adquirir los productos y servicios más sofisticados56. Finalmente, hay que añadir que los ataques llevados a cabo hasta ahora por estos grupos mostraban una importante aleatoriedad. La planificación y el desarrollo de este tipo de ataques dirigidos y sofisticados requiere más experiencia en TI de la que han venido demostrando en los perpetrados hasta ahora; sin perjuicio de la sensación de miedo que puede llegar a generar en los ciudadanos incluso el más simple de tales ataques.
52 Véase la referencia citada: 'Pro-IS Hacking Group CCTA Identifies German Pilot to Kill', Site Intelligence Group, 14 de Marzo de 2017.
53 Véase: 'Western Countries | Understanding pro-IS hacking capabilities', Risk Advisory, September 27 2016. (https://news.riskadvisory.net/2016/27/western-countries-understanding-pro-is-hacking-capabilities/)
54 No es necesaria una gran experiencia y muchas y sofisticadas herramientas para los limitados ciberataques que los grupos yihadistas han llevado a cabo hasta el presente.
55 Véase ‘UCC Announces Merger with Cyber Kahilafah, Claims “Kill Lists” arte Forthcoming’, Site Intelligence Group, 24 de Diciembre de 2016.
56 Véase: ‘Caliphate in Decline: An Estimate of Islamic State’s Financial Fortunes’, ICSR & EY, Londres, 2017.
Centro Criptológico Nacional SIN CLASIFICAR 22
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
5.4 Los hacktivistas en el ciberespacio
Como es sabido, por regla general, los grupos hacktivistas llevan a cabo sus ciberataques por razones ideológicas. Un par de ejemplos recientes: en marzo de 2017, la creciente tensión diplomática con Turquía fue la razón por la cual varios grupos desarrollaran ciberataques (a pequeña escala) aduciendo activismo político o motivaciones nacionalistas57. Seis meses antes, en julio de 2016, en Vietnam, las pantallas de información en varios aeropuertos mostraron lemas anti-vietnamitas y anti- Filipinas en relación con el conflicto en el Mar del Sur de China. Los medios de comunicación apuntaron su autoría al grupo hacktivista 1937CN58.
Sea como fuere, aun cuando el acometimiento de ciertos ciberataques exige un importante conocimiento, la amenaza que supone el hacktivismo podría crecer a la vista de la cada vez mayor disponibilidad de productos, servicios y herramientas para desarrollar ataques con un
significativo impacto social.
5.5 Cibervándalos y script kiddies
El motivo que anima a estos individuos o grupos para llevar a cabo sus acciones suele ser la broma o el desafío para demostrar sus propias capacidades. Dada la enorme variedad de tipologías personales que los componen, sus expectativas y capacidades pueden también variar ampliamente de unos a otros. La disponibilidad pública de herramientas para la comisión de ataques también tiene especial incidencia en las acciones de estos grupos. Un ejemplo de esta disponibilidad -de significativo impacto- fue el ataque DDoS a gran escala contra el proveedor de Servicios DNS Dyn. El vector de ataque utilizó el código de la botnet Mirai, públicamente disponible59. La autoría de este ciberataque fue reivindicada por un grupo desconocido autodenominado New World Collective, y cuya intención, según propia
57 Véase: http://nos.nl/artikel/2163055-turkse-hack-was-waarschijnlijk-online-vandalisme.html 58 Véase: http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines- website 59 Véase: https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/
Centro Criptológico Nacional SIN CLASIFICAR 23
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
manifestación, era probar la seguridad de los sitios web60, aunque tal afirmación nunca pudo verificarse.
5.6 Actores internos
Con respecto al Informe del pasado año, las amenazas derivadas de las acciones de los actores internos (insiders) no han cambiado sustancialmente. Como es sabido, cuando se trata de acciones intencionadas, la motivación suele ser de naturaleza personal (razones económicas, políticas o estrictamente personales, como la venganza tras un despido). No obstante, las amenazas de los actores internos también pueden provenir de comportamientos inconscientes, descuidos o negligencias.
5.7 Organizaciones privadas
Las características y, correlativamente, los motivos de los ciberataques desarrollados por organizaciones privadas son de distinto tipo: los que se dirigen a la disponibilidad o la confidencialidad de los sistemas de sus competidores, los que se perpetran para obtener beneficios económicos, los que intentan mejorar su posición competitiva o, simplemente, los que se dirigen a explotar comercialmente la información obtenida ilícitamente. En abril de 2017, el Congreso de los EE. UU. aprobó una ley que despeja el camino para que los proveedores de servicios puedan comerciar con el comportamiento de navegación de los usuarios61. De esta manera se responde al comportamiento de ciertas organizaciones privadas, que pueden obtener una enorme cantidad de datos de sus clientes al ofrecer determinados productos o servicios que, con posterioridad, pueden usar o vender a terceros. Aunque los usuarios, generalmente, deberían conceder los oportunos permisos para permitir este comportamiento empresarial, en 2016, 2017 y los meses transcurridos de 2018, han abundando las noticias de prensa en relación con empresas que han usado comercialmente datos (o que los cedían a terceros) sin que quedara suficientemente claro si el cliente había otorgado el permiso para hacerlo. Otros ejemplos han sido el uso comercial de información de los usuarios de televisores inteligentes, la cesión de datos de WhatsApp a su empresa matriz Facebook, la transmisión de detalles de las redes wifi, de Windows 10 o la cesión de datos de Facebook a Cambrige Analytica62.
60 Véase: http://www.cbsnews.com/news/new-world-hackers-claims-responsibility-internet-disruption-cyberattack/ 61 Véase: https://www.theregister.co.uk/2017/03/28/congress_approves_sale_of_internet_histories/ 62 Véase: http://www.bbc.com/mundo/noticias-43472797
Centro Criptológico Nacional SIN CLASIFICAR 24
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
6. VULNERABILIDADES
Se desarrollan seguidamente las vulnerabilidades más significativas de 2017.
6.1 Las vulnerabilidades en los navegadores y en la infraestructura web
Las vulnerabilidades de los navegadores siguen representando una significativa amenaza. En un reciente informe del Google Proyect Zero, se muestra que todos los navegadores de escritorio conocidos tienen vulnerabilidades de seguridad asociadas. Safari lidera la lista con 17 vulnerabilidades y la cierra Chrome con 263.
La presencia de vulnerabilidades en los navegadores es incesante: en cada nuevo concurso de recompensas por el hallazgo de brechas de seguridad se descubren nuevas vulnerabilidades. Como sucedió en el certamen Pwn2Own 2017, en el que se evidenciaron ciertas vulnerabilidades significativas de Microsoft Edge64.
Por su parte, los ataques por Cross-site Scripting (XSS) crecieron un 166% en 2017. Solo en el primer trimestre de 2017, el NIST informó de vulnerabilidades XSS en significativas versiones de algunos de los sistemas software de nivel superior65.
63 Véase: https://googleprojectzero.blogspot.ro/2017/09/the-great-dom-fuzz-off-of-2017.html 64 Véase: http://blog.trendmicro.com/pwn2own-2017-day-three-schedule-results/ 65 Véanse: https://nvd.nist.gov/vuln/detail/CVE-2016-6037 , https://nvd.nist.gov/vuln/detail/CVE-2017-8801 y https://nvd.nist.gov/vuln/detail/CVE-2017-3008
Centro Criptológico Nacional SIN CLASIFICAR 25
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Las vulnerabilidades de los sistemas de gestión de contenidos siguen siendo una importante fuente de ataques. La importante adopción de CMS por parte de sitios web los convierte en objetivos especialmente tentadores para los atacantes. Por ejemplo, en febrero de 2017 se informó de que una vulnerabilidad de WordPress (el CMS mundial más utilizado, con el 70% de la cuota de mercado), había posibilitado a los atacantes infiltrarse y desfigurar alrededor de dos millones de sitios web66. Muchos de ellos, basados en CMS, son vulnerables debido a la utilización de plugins o extensiones vulnerables y/o desactualizados, tales como WP Statistics (plugin de WordPress), que se consideraron vulnerables a la Inyección SQL en junio de 201767.
6.2 Las vulnerabilidades del hardware y el firmware
En 2017 prosiguieron las amenazas en el hardware y firmware, con algunos casos especialmente significativos68. Este tipo de vulnerabilidades constituyen un enorme aliciente para actores sofisticados. Aunque no es conocido el código dañino capaz de explotar tales vulnerabilidades, su profundidad en la arquitectura del hardware hace que sea muy difícil de detectar y prevenir. Aunque los fabricantes implicados ya han anunciado su respuesta a estas vulnerabilidades, la eficacia de las actualizaciones de seguridad no podrá evidenciarse de forma inmediata. 7. MÉTODOS DE ATAQUE
Aunque 2017 fue un año especialmente activo en ciberataques que se sirvieron de dispositivos del Internet of Things, las técnicas más consolidadas, como el ransomware o las APTs, siguen siendo las preferidas por los grupos delincuenciales y los estados, respectivamente. En todo caso, siempre a la búsqueda de nuevas formas más eficaces de emplear estas herramientas para obtener mayores beneficios económicos o estratégicos. Este epígrafe describe los desarrollos en las herramientas que los actores de las amenazas han venido utilizando en el período considerado para llevar a cabo sus ataques.
66 Véase: http://www.cbronline.com/news/cybersecurity/breaches/wordpress-security-weak-spot-lets-hackers-infiltrate-and- vandalise/ 67 Véase: https://blog.sucuri.net/2017/06/sql-injection-vulnerability-wp-statistics.html 68 Véanse: https://www.blackhat.com/docs/us-17/wednesday/us-17-Matrosov-Betraying-The-BIOS-Where-The-Guardians-Of- The-BIOS-Are-Failing.pdf , https://security-center.intel.com/advisory.aspx?intelid=intel-sa-00086&languageid=en-fr y https://arstechnica.com/information-technology/2017/11/intel-warns-of-widespread-vulnerability-in-pc-server-device-firmware/
Centro Criptológico Nacional SIN CLASIFICAR 26
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
7.1 Software para ciberespionaje
En 2017, muchos investigadores han señalado que las organizaciones más importantes de todo el mundo consideran el ciberespionaje una de las amenazas más graves para sus actividades69.
En agosto de 2016, autores desconocidos autodenominados Shadow Brokers, afirmaron haber puesto en peligro una campaña de espionaje de EE. UU. En su comunicado, sostuvieron haber sustraído código dañino para espionaje por intrusión. Para reforzar su mensaje, publicaron parte de este código, así como herramientas de hacking y exploits, señalando que todo ello provenía de los servicios de inteligencia de los EE. UU. Además, cierto material no divulgado se puso a la venta a través de una subasta pública, publicándose más tarde parte de ellos. Los archivos revelados contenían software de ciberespionaje que facilita los ataques a los firewalls, incluidos los de las empresas Cisco, Fortigate y Juniper. Parte del arsenal era malware asociado con el grupo Equitation Group; que, según afirma Kaspersky Labs, mantienen estrechas relaciones con los servicios de inteligencia norteamericanos70. En marzo de 2017, WikiLeaks publicó datos sobre otra filtración71 en la que mencionaban una wiki interna perteneciente a la CIA que publicaba la lista de herramientas de hacking y el código dañino usado por esta agencia norteamericana, aunque las propias herramientas y el código no se publicaron. WikiLeaks se comprometió a compartir esta información con los proveedores de aquellos productos o servicios con vulnerabilidades que estuvieran siendo explotadas72.
69 Véanse: http://newsroom.trendmicro.com/press-release/company-milestones/cyber-espionage-tops-list-most-serious-threat- concern-global-busine y https://www.blackhat.com/docs/us-17/2017-Black-Hat-Attendee-Survey.pdf 70 Véase: http://arstechnica.com/security/2017/01/nsa-leaking-shadow-brokers-lob-molotov-cocktail-before-exiting-world- stage/ 71 Véase: https://wikileaks.org/vault7/darkmatter/ 72 Véase: http://www.usatoday.com/story/news/world/2017/03/09/wikileaks-provide-tech-firms-access-cia-hacking-tools- assange/98946128/
Centro Criptológico Nacional SIN CLASIFICAR 27
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En abril de 2017, Shadow Brokers volvió a publicar malware para espionaje afirmando que también en este caso tenía su origen en los servicios de inteligencia norteamericanos. Las herramientas más comentadas fueron: EternalBlue, un exploit que aprovecha el protocolo de intercambio de archivos SMB en sistemas Windows y DoublePulsar, una puerta trasera que
puede instalarse en sistemas infectados para ejecutar diferentes códigos maliciosos73.
Hay que mencionar que la vulnerabilidad explotada ya había sido revisada por Microsoft un mes antes en una actualización de seguridad para Windows74.
Finalmente, a principios de mayo de 2017, la vulnerabilidad explotada por EternalBlue se utilizó a gran escala. El ransomware WannaCry utilizó esta vulnerabilidad, afectando de manera muy significativa a muchas organizaciones en todo el mundo, entre ellas la compañía española Telefónica, FedEx y el Servicio Nacional Británico de Salud (NHS)75.
Ataques de ciberespionaje más significativos APT3376: En septiembre de 2017 se descubrió que este grupo estaba detrás de un supuesto espionaje a empresas de los EE. UU., Medio Oriente y Asia. La mayoría de las compañías pertenecen a la industria petroquímica, militar y de aviación comercial.
73 Véase: https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/ 74 Véase: https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/ 75 Véase: https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/ y https://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/ 76 Advanced Persistent Threat 33 (APT33) es un grupo de actores identificado por FireEye como compatible con el gobierno de Irán.
Centro Criptológico Nacional SIN CLASIFICAR 28
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
APT3277 (Ocean Lotus Group): Es un grupo de ciberespionaje del sudeste asiático que amenaza a compañías multinacionales que operan en Vietnam. En 2017, se descubrió que este grupo desarrolló una campaña contra dos filiales de empresas norteamericanas y filipinas de venta de productos de consumo ubicadas en Vietnam. APT2878 (también conocido como Fancy Bear, Pawn Storm, Sofacy Group, Sednit y Strontium): Se trata de un grupo de ciberespionaje probablemente patrocinado por el gobierno ruso. A principios de julio de 2017, se descubrió una nueva campaña contra varias compañías de hostelería, incluyendo hoteles de, al menos, siete países europeos y un país de Oriente Medio. APT2979 (conocido también como Cozy Bear): Es un grupo ruso, presumiblemente asociado a los servicios secretos. En 2017, este grupo se vio involucrado en el ataque a varias instituciones públicas de Noruega (Ministerio de Defensa, Ministerio de Asuntos Exteriores y el Partido Laborista) y de Holanda (varios ministerios, entre ellos el Ministerio de Asuntos Generales). APT1780: Es un grupo con base en China que ha realizado intrusiones de red contra entidades gubernamentales de los EE. UU., la industria de la Defensa, bufetes de abogados, empresas de tecnología de la información, empresas mineras y organizaciones no gubernamentales. Los investigadores han analizado la posibilidad de que el ataque a CCleaner fuera impulsado por un actor estado-nación, probablemente este grupo chino.
7.2 Ransomware
Durante los últimos años, esta actividad delictiva se ha mostrado como una de las más lucrativas81. Según las fuentes consultadas, aproximadamente, el 60% del código dañino presente en los ataques de 2017 era ransomware82.
77 Véase: https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html 78 Véase: https://en.wikipedia.org/wiki/Fancy_Bear 79 Véase: https://en.wikipedia.org/wiki/Cozy_Bear 80 Véase: https://attack.mitre.org/pre-attack/index.php/Group/PRE-G0025 81 Véase: http://www.itpro.co.uk/security/26993/ransomware-is-the-most-profitable-cybercrime 82 Véase: https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
Centro Criptológico Nacional SIN CLASIFICAR 29
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por otro lado, en 2017 se ha observado un incremento de los ataques dirigidos a objetivos concretos83, especialmente a organizaciones financieras, habiéndose registrado peticiones de rescates por importe de 500.000 dólares, lo que, obviamente, incrementa el potencial lucrativo de tales ataques.
Además del método de pago del rescate habitual -bitcoin-, en los últimos años se han incrementado otros tipos de pago, tales como las tarjetas- regalo de iTunes o de Amazon84.
Más allá de las instituciones financieras y del sector público, las investigaciones mundiales sobre la penetración del ransomware han mostrado que el sector sanitario es el más atacado por esta amenaza85. Por otro lado, en 2016 y 2017 se ha evidenciado que, además de los clásicos ataques a las estaciones de trabajo usando el correo electrónico, se han incrementado los ataques que usan exploits para infectar los servidores86. Lo que ha sucedido, por ejemplo, en bases de datos mal protegidas, como fue el caso de los ataques a MongoDB87.
Además, estos ataques también se han extendido a otras tecnologías de servidor, como los servidores ElasticSearch, Hadoop, CouchDB, Cassandra y MySQL.
No cabe duda de que la penetración del ransomware se debe a la facilidad con la que se pueden organizar campañas de este tipo. Es frecuente ver cómo los
83 Véase: https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-identifies-ransomware-actors-focusing-on- targeted-attacks-against-businesses 84 Véase: https://www.bleepingcomputer.com/news/security/decrypted-alpha-ransomware-accepts-itunes-gift-cards-as- payment/ 85 Véase: http://www.csoonline.com/article/3099852/security/health-care-organizations-114-times-more-likely-to-be- ransomware-victimsthan-financial-firms.html 86 Véase: http://www.faronics.com/news/blog/server-side-ransomware-rise-heres-beat/ 87 Véase: https://www.welivesecurity.com/la-es/2017/09/07/ataques-extorsivos-bases-de-datos-mongodb/
Centro Criptológico Nacional SIN CLASIFICAR 30
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
ciberdelincuentes compran código dañino mediante procedimientos de Ransomware- as-a-service para distribuirlo ellos mismos88.
En abril de 2017, se publicó un informe de la variante del ransomware Karmen como ransomware-as-a-service que se vendía por 175 dólares89. Otro ejemplo es el caso del ransomware Philadelphia90 -cuya autoría se atribuye un grupo llamado The Rainmaker Labs-, y que en la actualidad se vende en la Darkweb por 389 dólares.
Por otro lado, el ransomware ha proseguido a su sofisticación en los últimos años. Por ejemplo: en mayo de 2016 se descubrió Petya91, que no solo cifraba los datos almacenados, sino que también sobrescribía el registro de inicio maestro (MBR) del disco duro, lo que hacía que los ordenadores infectados no pudiesen arrancar el sistema operativo. En junio de 2017, se identificó una versión modificada de Petya, llamada NotPetya, que usaba múltiples técnicas de difusión, entre ellas, el mecanismo de actualización de un producto de software ucraniano llamado MeDoc, una versión modificada del exploit EternalBlue utilizado por WannaCry un mes antes92, técnicas de propagación en redes locales utilizando herramientas integradas de Microsoft (WMI y PSEXEC) y la captura de credenciales utilizando herramientas personalizadas similares a Mimikatz93.
88 Véase: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-satan- offered-asransomware-as-a-service 89 Véase: https://www.recordedfuture.com/karmen-ransomware-variant/ 90 Véase: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/RaaS-Philadelphia.pdf 91 Veáse: https://www.kaspersky.com/about/press-releases/2017_petrwrap-criminals-steal-ransomware-code-from-their-peers 92 Véase: https://securelist.com/schroedingers-petya/78870/ 93 Véase: https://www.crowdstrike.com/blog/fast-spreading-petrwrap-ransomware-attack-combines-eternalblue-exploit- credential-stealing/
Centro Criptológico Nacional SIN CLASIFICAR 31
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Uno de los aspectos más significativos en relación con WannaCry y NotPetya es que, a diferencia del ransomware tradicional, se usaron como vectores de ataque exploits filtrados y supuestamente desarrollados por la NSA norteamericana94.
En lo que respecta al ransomware para dispositivos móviles, se ha apreciado un incremento en 201795, especialmente en equipos Android, debido habitualmente a la instalación o actualización de aplicaciones, exigiendo el pago de un rescate a través de tarjetas de prepago tras lo cual, habitualmente, el dispositivo se libera. Según las fuentes consultadas, el volumen de ransomware móvil creció más de tres veces durante los primeros meses de 2017, detectándose 218.625 muestras en el primer trimestre. Sea como fuere, el ransomware en dispositivos móviles parece tener menos impacto que en ordenadores convencionales probablemente debido a que estos equipos suelen disponer de una copia de seguridad automática en la nube. El alcance potencial del ransomware en teléfonos inteligentes es, sin embargo, mayor que en otros dispositivos; a la vista de la tendencia de usar el smartphone como medio de acceso a Internet, superior a los ordenadores portátiles en muchas regiones del mundo.
94 Véase: https://www.symantec.com/connect/blogs/equation-has-secretive-cyberespionage-group-been-breached 95 Véase: https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-reports-mobile-ransomware-dramatically- increased-in-q1-2017
Centro Criptológico Nacional SIN CLASIFICAR 32
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Una nueva forma de infectar con ransomware los equipos es mediante un ataque al Remote Desktop Protocol (RDP). Este tipo de ataque se usa para obtener acceso al sistema, que posteriormente será infectado. Para diseminarse, el ransomware WannaCry explota una vulnerabilidad en el protocolo de intercambio de archivos SMB.
La sofisticación, creatividad y ánimo de lucro de los delincuentes ha quedado patente en 2017 al apreciarse casos de ransomware en la infección de televisores convencionales96.
Los mecanismos de ataque no solo son cada vez más sofisticados desde el punto de vista tecnológico; son también más meditados o audaces, siempre a la búsqueda de mejores oportunidades para alcanzar los objetivos, persiguiendo el contacto directo con sus potenciales víctimas en algunos casos. Por ejemplo, a principios de 2016 se evidenció la presencia de un chat en vivo en el que los atacantes suministraban soporte técnico a las víctimas para el pago del rescate y para recibir la clave de descifrado97.
Otro ejemplo: además de la opción de pago para obtener la clave de descifrado, a las víctimas del ransomware Popcorn Time se les dio la opción de infectar a otras dos víctimas para eludir tal pago y obtener la clave de descifrado de forma gratuita, siempre que las dos nuevas víctimas finalmente satisficieran la extorsión98.
96 Véase: https://www.bleepingcomputer.com/news/security/android-ransomware-infects-lg-smart-tv/ 97 Véase: https://www.bleepingcomputer.com/news/security/padcrypt-the-first-ransomware-with-live-support-chat-and-an- uninstaller/ 98 Véase: https://www.wired.com/2016/12/popcorn-time-ransomware/
Centro Criptológico Nacional SIN CLASIFICAR 33
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Otro ejemplo más: a finales de 2016 a las víctimas del ransomware CryptXXX ransomware se les ofreció un descuento en la compra de la clave de descifrado, como si se tratara de una oferta navideña, tal y como se ve en la presente imagen.99.
Pese a las nuevas modalidades mencionadas, el correo electrónico ha seguido siendo el medio más utilizado para distribuir ransomware100.
La inexistencia de un método universalmente adecuado para proteger el correo electrónico permite a los delincuentes llegar fácilmente a un gran número de víctimas potenciales, al tiempo que resulta muy difícil para un usuario medio determinar si el remitente es o no auténtico. Los mensajes de phishing distribuidos por medio de email cada vez más refinados y profesionales constituyeron en 2017 el medio para iniciar un ciberataque en el 91% de los casos101. Un ejemplo: a principios de abril de 2017 se publicó un informe sobre la campaña Cloud Hopper, un ataque particularmente dirigido a los proveedores de servicios gestionados. Los correos electrónicos de spearphishing contenían código dañino diseñado para obtener acceso a las redes de estos proveedores. Tras la infección, el ataque desarrolló una búsqueda de datos confidenciales pertenecientes a clientes, tales como propiedad intelectual y detalles personales. La información encontrada se desviaba, en primer lugar, a la red del proveedor, para transmitirse después a la propia infraestructura del atacante. Por último, como adelantábamos en nuestro informe del pasado año, la amenaza del ransomware ha alcanzado a los dispositivos médicos. La integración entre las TIC
99 Véase: https://blogs.forcepoint.com/security-labs/merry-cryptmas-cryptxxx-ransomware-offers-christmas-discount 100 Véase: https://blog.barkly.com/ransomware-statistics-2017 101 Véase: http://www.darkreading.com/endpoint/91--of-cyberattacks-start-with-a-phishing-email/d/d-id/1327704
Centro Criptológico Nacional SIN CLASIFICAR 34
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
tradicionales y la tecnología sanitaria y quirúrgica es una tendencia que se observa también en el sector de la salud102, provocando lo que se ha llamado MEDJACK o “dispositivo médico secuestrado”. Es previsible que esta amenaza lo sea aún más en el futuro, toda vez que un hospital de tamaño pequeño o mediano, con cinco o seis unidades quirúrgicas, puede tener entre 12.000 y 15.000 dispositivos que pueden verse potencialmente comprometidos, tal y como se desprende del siguiente esquema.
Si bien todas las amenazas y herramientas señaladas siguen usándose extensa y lucrativamente, los ciberdelincuentes no abandonan su permanente búsqueda de nuevas herramientas o nuevas formas de utilizar las existentes, especialmente cuando aumenta la resiliencia de los sistemas atacados a tales métodos.
7.3 Phishing y spamming
Muy ligado al ransomware, el phishing, es un método que utiliza principalmente ingeniería social para atacar a los usuarios finales, advirtiéndose en 2017 muestras muy sofisticadas y muy difíciles de detectar. Según las fuentes consultadas103, las campañas de phishing en 2017 aumentaron tanto en volumen como en sofisticación.
102 Véase: http://www.networkiq.co.uk/ransomware-medical-devices-medjack/ 103 Véanse: https://securelist.com/spam-and-phishing-in-q2-2017/81537/ y https://s3-us-west-1.amazonaws.com/webroot-cms- cdn/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf
Centro Criptológico Nacional SIN CLASIFICAR 35
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Como es sabido, el phishing es muy usado como primer paso en los ciberataques y constituye el vector de infección más exitoso, tanto en ataques dirigidos (ciberespionaje) como innominados (ransomware)104. Además, 2017 ha sido testigo de la aparición de un nuevo método de ataque: el Phishing-as-a-service105.
104 Una encuesta (véase: https://www.sans.org/reading-room/whitepapers/threats/2017-threat-landscape-survey-users-front- line-37910 ) evidenció que, en 2017, el 74% de las ciberamenazas se introdujeron en los sistemas como un archivo adjunto o un enlace de correo electrónico. 105 Véase: https://www.netskope.com/blog/phishing-service-phishing-revamped/
Centro Criptológico Nacional SIN CLASIFICAR 36
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Originariamente106 los ataques de phishing se desarrollaban a través de masivas campañas de spam sin objetivos concretos, persiguiendo convencer a las víctimas para hacer clic en un enlace dañino o descargar un archivo adjunto para, en última instancia, acceder a sus credenciales, instalar malware o exfiltrar datos.
Sin embargo, en la actualidad, los ataques buscan objetivos concretos, volviéndose más específicos y sofisticados107. Así, el denominado Spear-phishing se utiliza para atacar a una entidad concreta, muy adaptado al objetivo (generalmente basado en todo tipo de información pública recopilada, por ejemplo, las redes sociales), lo que dificulta enormemente determinar su naturaleza dañina. ENISA publicó un informe al respecto108 en el que se describe el denominado "compromiso comercial por correo electrónico - BEC". Esta técnica de phishing (también conocida como whalling o “caza de ballenas"109) se refiere a ataques de spear-phishing contra ejecutivos de alto nivel110, generalmente con el objetivo de sustraer dinero de sus organizaciones-víctima o realizar ciberespionaje. Además de todo lo anterior, hay que señalar que se han observado ataques de este tipo contra industrias111 de los sectores de la metalurgia, la energía eléctrica y la construcción, lo que aumenta el riesgo de acceso no autorizado a las redes corporativas y los equipos industriales.
La debilidad humana Con frecuencia, el éxito del phishing se debe al sentido de urgencia que le impone a la víctima. Los correos electrónicos de suplantación de identidad, generalmente, instan a la víctima a actuar sobre algo en un periodo de tiempo limitado112. Por ejemplo: actuar sobre una supuesta violación de datos, sobre la entrega de un producto, sobre un recordatorio de caducidad de contraseñas, la perentoriedad para
106 Véase: https://www.enisa.europa.eu/publications/info-notes/phishing-on-the-rise 107 Véase: https://www.eff.org/deeplinks/2017/09/phish-future 108 Véase: https://www.enisa.europa.eu/publications/info-notes/how-to-avoid-losing-a-lot-of-money-to-ceo-fraud 109 Véase: https://www.insedia.com/articles/whales-guppies-when-a-company-s-top-bottom-1-are-equally-exposed 110 Véase: https://www.scmagazineuk.com/ceo-sacked-after-aircraft-company-grounded-by-whaling-attack/article/530984/ 111 Véase: https://securelist.com/nigerian-phishing-industrial-companies-under-attack/78565/ 112 Véase: https://mediaserver.responsesource.com/press-release/85178/Q32017+Infographic.pdf
Centro Criptológico Nacional SIN CLASIFICAR 37
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
descargar lo que constituye software dañino113, supuestamente reparador de virus, o a través de aplicaciones móviles dañinas que falsifican notificaciones del sistema operativo114. Todo ello con el propósito de obtener las credenciales de usuario.
Aprovechando el impacto mediático de Wannacry, en 2017 un atacante envió notificaciones falsas, en nombre de proveedores de software, instando a las víctimas a actualizar el software respectivo alegando que los sistemas de las víctimas estaban infectados115.
La sensación de urgencia impuesta por los ataques de phishing suele estar ligada a correos electrónicos bastante convincentes y sitios web falsos que suplantan hábilmente a entidades legítimas. A menudo, estos sitios web pueden parecer idénticos, tanto en términos de contenido como en una semejanza -inapreciable- del nombre de dominio, que se encuentra en la barra de direcciones URL de cada navegador. En concreto, los agentes de las amenazas usan frecuentemente caracteres no latinos116 muy parecidos a los latinos, que pueden pasar desapercibidos para un ojo no entrenado117.
Por otro lado, según las fuentes consultadas118 y con el objeto de dificultar la atribución de la autoría, las campañas de phishing se basan en múltiples y efímeros sitios web, lo que dificulta la adopción de técnicas antiphishing tradicionales. Por ejemplo, listas de bloqueo, que no son suficientes contra un número cada vez mayor de dominios dañinos.
113 Véase: https://twitter.com/msftmmpc/status/918012087351283712 114 Véase: https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking 115 Véase: https://securelist.com/spam-and-phishing-in-q2-2017/81537/ 116 v Véase: https://www.theguardian.com/technology/2017/apr/19/phishing-url-trick-hackers 117 Véase: https://gerryk.com/node/68 118 Véase: https://s3-us-west-1.amazonaws.com/webroot-cms- cdn/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf
Centro Criptológico Nacional SIN CLASIFICAR 38
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En algún caso, además, se han detectado correos electrónicos de phishing que adjuntaban archivos protegidos con contraseña119, lo que hacía suponer a las víctimas que se encontraban ante un corresponsal conocido y, por lo tanto, fiable. Por su parte, el spam, que se remonta a los albores de Internet, permanece como una amenaza significativa, toda vez que sigue siendo el principal medio para la entrega innominada de código dañino a través de archivos adjuntos y URL dañinas. Como es sabido, el spam representa un importante volumen de los correos electrónicos en todo el mundo y se distribuye principalmente por grandes botnets. La mayoría de los mensajes de spam persiguen publicitar productos o servicios y, aunque su número parece estar en descenso, ha ganado en calidad (para engañar a las víctimas y/o para evadir el filtrado del correo no deseado).
7.4 Código dañino y Exploits kits
En 2017, el código dañino siguió evolucionando en términos de sofisticación y diversidad, aunque puede apreciarse una ligera disminución en términos de frecuencia. Algunas cifras: Avira detectó más de 4 millones de muestras diarias y Mcfee, más de 700 millones de muestras en el primer trimestre de 2017120, incorporando en muchas ocasiones sofisticadas técnicas de evasión.
Por su parte, el código dañino para dispositivos móviles, que en 2017 ha podido descender en cuanto a número absoluto (1,3 millones de muestras en el primer y
119 Véase: https://securelist.com/spam-and-phishing-in-q2-2017/81537/ 120 Véanse: https://www.avira.com/en/threats-landscape y https://www.mcafee.com/us/resources/reports/rp-quarterly- threats-jun-2017.pdf
Centro Criptológico Nacional SIN CLASIFICAR 39
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
segundo trimestre de 2017, en comparación con 1,5 millones en el tercer trimestre de 2016), ha incrementado claramente su nivel de sofisticación121.
Las filtraciones de herramientas y exploits han configurado también la realidad de 2017. La filtración de determinado código dañino -cuyo desarrolló originario se atribuyó a actores estatales122- dieron lugar a los ataques WannaCry y NotPetya. WannaCry es un ejemplo representativo de la tendencia a utilizar como vectores de infección exploits de ejecución remota (como EternalBlue) y ataques de fuerza bruta RDP, eliminando la necesidad de una acción directa del usuario, tal como acudir a una URL o abrir un archivo infectado123. Como adelantábamos en el informe del pasado año, se están desarrollando nuevos mecanismos de ataque, utilizando herramientas que ya están instaladas en los ordenadores de las víctimas, tales como PowerShell, PSExec o WMI. O ejecutando scripts simples y shellcode directamente en la memoria de las máquinas, lo que hace más difícil su detección porque posibilita la ocultación del atacante entre las herramientas habituales de administración del sistema 124.
121 Véase: https://securelist.com/it-threat-evolution-q2-2017-statistics/79432/ 122 Véase: https://blog.rapid7.com/2017/04/18/the-shadow-brokers-leaked-exploits-faq/ 123 Véase: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ 124 Véanse: https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of- powershell-in-attacks-16-en.pdf , https://usa.kaspersky.com/about/press-releases/2017_destined-for-deletion-apts-harness- wipers-and-fileless-malware-targeted-attacks y https://www.symantec.com/content/dam/symantec/docs/security-center/white- papers/istr-living-off-the-land-and-fileless-attack-techniques-en.pdf
Centro Criptológico Nacional SIN CLASIFICAR 40
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por su parte, sigue en crecimiento el código dañino para MacOS y Linux125, duplicándose en el primer trimestre de 2017, con respecto al año anterior.
Por otro lado, como se ha señalado126, muchas campañas de malware usan algoritmos de generación pseudoaleatoria de nombres de dominio de dominios (DGA) para dificultar su detección. Aunque los dominios generados por DGA suelen tener una corta vida útil, a veces pueden durar meses, lo que comporta que el bloqueo heurístico sea más difícil como mecanismo de defensa. Lo más probable es que esta tendencia se deba a que los atacantes se encuentran impelidos a realizar ataques capaces de evitar el mecanismo de defensa y permanecer sin descubrir durante un largo período de tiempo. Además, este es un mecanismo que ayuda a los atacantes a evitar listas de bloqueo, aunque no tan rápidamente como para que los defensores puedan bloquear todos los dominios nuevos. En la mayoría de los casos, los algoritmos utilizados por el código dañino de generación DGA utilizan solo dos elementos al crear dominios: la longitud del nombre de dominio y los posibles dominios de nivel superior que puede usar.
125 Véase: https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf 126 Enisa: Threat Landscape Report 2017.
Centro Criptológico Nacional SIN CLASIFICAR 41
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Finalmente, los ataques a la cadena de suministro constituyen cada vez más una de las amenazas más significativas. Efectivamente, una infraestructura comprometida puede afectar a muchas organizaciones. Como reveló el ataque a RSA, las agresiones a la cadena de suministro pueden maximizar el impacto con un mínimo esfuerzo de los atacantes. Código dañino contra el Sector Financiero Las entidades financieras de todo el mundo están aprendiendo cómo combatir el fraude bancario en Internet de manera cada vez más efectiva. En la actualidad, los ciberdelincuentes no solo dirigen sus acciones contra clientes o consumidores (que siguen representando la mayoría de los ataques), sino que también lo hacen contra las propias entidades (en menor medida, aunque utilizando herramientas más sofisticadas), lo que en muchos casos comporta un rendimiento económico del ataque mucho mayor127. Un informe de la empresa de seguridad Group-IB sobre el grupo delincuencial denominado Cobalt, cuyas acciones se dirigieron contra cajeros automáticos, reveló que se utilizaron correos electrónicos de spear phishing dirigidos a varias entidades para obtener acceso a la red local de la entidad, lo que permitió a Cobalt infectar la red de cajeros automáticos, vaciando una gran cantidad de tales máquinas en un corto período de tiempo.
Efectivamente, también las empresas de seguridad TrendMicro y FireEye han percibido un aumento en el uso de código dañino para cajeros automáticos. Estas compañías han publicado informes que apuntan a nuevas variantes de malware dirigidas al middleware, una plataforma de software que permite atacar cajeros automáticos de diferentes fabricantes. En concreto, TrendMicro publicó un informe sobre el código dañino para ATMs Alice, descubierto en un proyecto de investigación conjunto con Europol EC3128.
127 Véase: http://www.reuters.com/article/us-usa-cyber-swift-exclusive-idUSKBN1412NT 128 Véase: https://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/
Centro Criptológico Nacional SIN CLASIFICAR 42
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Por su parte, FireEye detectó el malware para ATMs Ploutus-D, una variante nueva del ya conocido Ploutus, en una investigación en América Latina129, señalando que este tipo de malware será más eficaz en países con medidas de protección física menos estrictas en los cajeros automáticos. No está claro si Alice y Ploutus-D están relacionadas o no.
Por otro lado, hay que señalar que el código dañino financiero se sustenta, esencialmente, en ataques basados en web. La mayoría de los malware financieros conocidos (Zbot, Gameover Zeus, SpyEye, Ice IX, Citadel, Carberp, Bugat y muchos otros) utilizan exploits del navegador, así como el reciente Disdain130 y las técnicas del man-in-the-browser.
Finalmente, los ataques por watering-hole contra el sector financiero (muy difíciles de investigar, por su especificidad) están en aumento. Cada vez más sitios web comprometidos se utilizan para lanzar este tipo de ataques. El malware se descarga en las máquinas de los visitantes de los sitios web sin su conocimiento, generalmente utilizando exploits kits. Según las referencias que se señalan, los ataques en 2017 de este tipo intentaron infectar a más de 100 organizaciones en 31 países diferentes131, la mayoría de las cuales eran instituciones financieras. Se ha observado un comportamiento común: los usuarios son infectados o redireccionados a diferentes sitios solo si tienen una versión específica de navegador (o sistema operativo), usan una dirección IP concreta (asignada a una organización específica) o son de una región específica.
129 Véase: https://www.fireeye.com/blog/threat-research/2017/01/new_ploutus_variant.html 130 Véase: https://www.intsights.com/blog/new-disdain-exploit-kit-may-signal-reemergence-of-the-popular-hacker-tool 131 Véase: https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0
Centro Criptológico Nacional SIN CLASIFICAR 43
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Exploits kits Como es sabido, los exploits kits tienen la capacidad de identificar vulnerabilidades en el navegador del usuario o en aplicaciones web y explotarlas automáticamente132. Frecuentemente, se dirigen a complementos del navegador (tales como Java o Adobe Flash). Aunque en 2017 el número de exploits kits se redujo significativamente, se mantiene la técnica del Malware-as-a-service que 2017 evidenció que el exploit kit Disdain se siguiera alquilando al precio de 80 dólares, detectándose incluso versiones más sofisticadas133. En 2017, algunas de las campañas de código dañino más significativas utilizaron exploits kits para comprometer sus objetivos134. Puesto que los exploits kits siguen siendo una buena y confiable herramienta para la diseminación de código dañino, es de esperar que el ransomware siga usándolos como vectores de infección. Uno de los exploits kits más utilizados sigue siendo RIG que, en 2017, fue utilizado en varias campañas, aunque se evidenciaron comportamientos diferentes en cada una de ellas. Recientemente, ha comenzado a ocuparse del software de minería de criptomonedas135.
Finalmente, es importante señalar que en 2017 se detectó un nuevo exploit kit, denominado Terror EK, que contiene mecanismos muy sofisticados, tales como cargas de Metasploit y otros exploits kits -como Sundown y Hunter-, aunque se han observado cambios significativos en el ciclo de infección136.
132 Véase: https://blog.malwarebytes.com/threat-analysis/2017/03/exploit-kits-winter-2017-review/ 133 Véase: http://securityaffairs.co/wordpress/62021/malware/disdain-exploit-kit.html 134 Véase: https://blogs.technet.microsoft.com/mmpc/2017/01/23/exploit-kits-remain-a-cybercrime-staple-against-outdated- software-2016-threat-landscape-review-series/ 135 Véase: https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup-spring-2017 136 Véase: https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup-spring-2017
Centro Criptológico Nacional SIN CLASIFICAR 44
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
7.5 Ataques contra la Industria de la Publicidad
A finales de 2016 y principios de 2017, los ciberdelincuentes obtuvieron beneficios económicos de la industria publicitaria utilizando la botnet Methbot. Para lograrlo, registraron nombres de dominio que parecieran pertenecer a grandes y conocidas organizaciones. Estos nombres de dominio se suscribieron a una red publicitaria para que los anunciantes se publicitasen en ella. El método se valía de una botnet para hacer clic automáticamente en el enlace del anuncio, donde el anunciante pagaba por cada clic una cierta suma de dinero al propietario del nombre de dominio. Los usuarios reales se simularon al iniciar sesión automáticamente en cuentas de redes sociales y simular los movimientos del mouse y los clics desde un navegador especialmente desarrollado para este propósito. Infectar sistemas mediante la distribución de código dañino a través de anuncios en sitios web (lo que se denomina “publicidad dañina” o “malvertising”) parece seguir en aumento137. Efectivamente, la empresa RiskIQ informó un aumento del 132% en el número total de casos de publicidad maliciosa en todo el mundo. Durante 2016 y 2017 se implementaron medidas para prevenir las infecciones por malvertising, tanto del lado del usuario como del lado del propietario del sitio web. Según las cifras de PageFair, el uso de adblockers ha aumentado en torno a un 20% en los últimos años138.
7.6 Ataques Web
Ataques basados en web Como es sabido, los ataques basados en web son aquellos que hacen uso de sistemas y servicios habilitados para la web, tales como navegadores (y sus extensiones), sitios web (incluidos los sistemas de gestión de contenido), los componentes TIC de servicios web y las propias aplicaciones web. Algunos ejemplos: exploits para los navegadores web (o sus extensiones) o servidores web; exploits de los servicios web;
137 Véase: https://www.riskiq.com/infographic/riskiqs-2016-malvertising-report/ 138 Véase: https://pagefair.com/downloads/2016/05/2015_report-the_cost_of_ad_blocking.pdf y https://pagefair.com/downloads/2017/01/PageFair-2017-Adblock-Report.pdf
Centro Criptológico Nacional SIN CLASIFICAR 45
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
ataques drive-by o wateringhole, la redirección y los ataques man-in-the-browser- attacks. Como se ha señalado, este tipo de ataques siguió siendo en 2017 una de las amenazas más importantes y lo seguirá siendo en los próximos años139. Las primeras extensiones de navegador comprometidas aparecen a mediados de 2017. Varias extensiones de Chrome (incluida WebDeveloper, utilizada por desarrolladores web y pen-testers) se comprometieron. El código dañino incluido en WebDeveloper permitió a los agentes de las amenazas cargar en el navegador de la víctima código JavaScript servido desde un Dominio DGA140. Como hemos mencionado, ciertos servicios de mensajería (Telegram o WhatsApp) sufrieron ataques basados en la web que comprometían los dispositivos, dirigidos a romper el cifrado141. Por otro lado, la presencia de JavaScript dañino propicia las descargas Drive-by, que pueden infectar un ordenador sin ninguna acción específica por parte del usuario. Según las fuentes que se referencian, dos de las diez amenazas de código dañino más habituales fueron JavaScript142. Finalmente, el número de URL maliciosas sigue siendo muy alto. Según los informes que se mencionan143, en el segundo trimestre de 2017 se identificaron más de 33 millones de URL maliciosas, responsables de la propagación de código dañino en todo el mundo, siendo EE. UU. (32%), Países Bajos (20%), Francia (11%), Finlandia (10%) y Alemania (8%) los países que más alojan recursos dañinos. Ataques a aplicaciones web Examinaremos ahora los ataques dirigidos contra aplicaciones web, servicios web y aplicaciones móviles. Su característica común es la pretensión de abuso de las API incorporadas a las aplicaciones web (que, frecuentemente, no están protegidas y contienen numerosas vulnerabilidades). Las aplicaciones web patrocinadas por el sector financiero y el Sector Público continúan siendo las más atacadas, aunque, en relación con 2016, ha podido observarse un cierto descenso en la frecuencia de tales ataques144.
139 Véase: https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-sept-2017.pdf 140 Véase: https://www.proofpoint.com/us/threat-insight/post/threat-actor-goes-chrome-extension-hijacking-spree 141 Véase: https://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/ 142 Véase: https://www.watchguard.com/wgrd-resource-center/security-report 143 Véase: https://securelist.com/it-threat-evolution-q2-2017-statistics/79432/ 144 Véase: https://www.ptsecurity.com/upload/corporate/ww-en/analytics/WebApp-Attacks-2017-eng.pdf
Centro Criptológico Nacional SIN CLASIFICAR 46
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
La Open Web Application Security Project (OWASP) ha incorporado recientemente dos nuevas amenazas a su catálogo145: las denominadas Insufficient Attack Protection y Under-protected APIs, incluyendo, entre otras: SOAP/XML, REST/JSON, RPC y GWT.
En general, tales ataques se han dirigido contra objetivos conocidos y/o proyectos open-source, tales como plugins de WordPress, sitios de Magento, etc. La forma que tienen de explotar dichos recursos es cada vez más eficiente, construyendo analizadores capaces de explorar y explotar las vulnerabilidades, una vez se han hecho públicas. Como en años anteriores, la inyección SQL sigue siendo una amenaza importante para las aplicaciones web: los ataques contra APIs están situados en primer lugar de la lista de amenazas OWASP y la protección débil de APIs, en tercer lugar146. Los ciberataques de tipo inyección (como SQL Injection) siguen siendo la amenaza mejor clasificada por el Open Web Application Security Project (OWASP). En los 10 primeros listados de OWASP, los ataques de API se encuentran en la primera posición, mientras que la protección débil de API ocupa el tercer lugar.
145 Véase: http://sdtimes.com/owasp-adds-unprotected-apis-insufficient-attack-protection-top-ten-2017-release/ 146 Véase: https://www.owasp.org/index.php/Top_10_2017-Top_10
Centro Criptológico Nacional SIN CLASIFICAR 47
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Centro Criptológico Nacional SIN CLASIFICAR 48
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Como hemos señalado, los ataques por Cross-site Scripting (XSS) crecieron un 39% en el primer trimestre de 2017147, al tiempo que las vulnerabilidades XSS lo hicieron en un 166% durante 2017.
Finalmente, hay que señalar que durante 2017 los sitios web de las instituciones gubernamentales y las empresas TIC siguen siendo los objetivos preferidos148: con un promedio de 1.346 ataques a aplicaciones web en el sector TIC, 1.184 en el sector gubernamental, 610 en el sector sanitario y 44 en el sector educativo.
7.7 Internet of Things-Botnets
Los dispositivos IoT (en muchos casos, electrónica de consumo) disponen, habitualmente, de una seguridad moderada o baja149. Además de la escasa robustez en el diseño, esta realidad se debe, entre otras razones, al uso de contraseñas predeterminadas o débiles, a la ausencia de cifrado o a las escasas o inexistentes actualizaciones de software para parchear vulnerabilidades y errores básicos de diseño. Precisamente, estas vulnerabilidades han sido especialmente explotadas en 2017, permitiendo que los dispositivos IoT se hayan utilizado como herramientas para llevar a cabo ciberataques (IoT en botnets), además de para espiar a sus usuarios o para manipular el entorno de los usuarios.
147 Véase: https://snyk.io/blog/xss-attacks-the-next-wave/#high-profile-xss-vulnerabilities-are-not-a-thing-of-the-past 148 Véase: http://blog.ptsecurity.com/2017/09/web-application-attack-statistics-q2.html 149 Véase: http://www.networkworld.com/article/3118759/hackers-found-47-new-vulnerabilities-in-23-iot-devices-at-def- con.html
Centro Criptológico Nacional SIN CLASIFICAR 49
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En septiembre de 2016, se manifestaron los primeros indicios de que los agentes de las amenazas estaban empezando a hacer un uso a gran escala de dispositivos IoT. Ese mismo mes se detectó una botnet IoT que involucraba más de un millón de dispositivos, llevándose a cabo importantes ataques DDoS150. Así, el 20 de septiembre de 2016, el sitio web del periodista de seguridad Brian Krebs quedó inactivo debido a un ataque DDoS de 665 Gbps151, casi dos veces mayor que el ataque más grande conocido. Poco
después, el proveedor de hosting OVH sufrió un ataque DDoS de más de 1 Tbps152.
Aunque los grandes ataques DDoS no son nuevos, lo más significativo de ambas acciones fue que se llevaron a cabo utilizando una gran cantidad de dispositivos IoT comprometidos: routers domésticos, cámaras web y receptores de televisión digital. En 2017 ha habido un par de eventos que confirman esta realidad153. Otro aspecto que señalar es la evidencia de que ciertas botnets IoT forman parte de nuevos ataques de ransomware basados en botnets, tales como Hajime154 o muestras más sofisticadas como Devil's Ivy155 o la detección de ataques DDoS-pulse wave -capaces de doblar la velocidad de salida de los ataques156-. La posibilidad de perpetrar este tipo de acciones se sustenta en muchas ocasiones en la disponibilidad pública de las herramientas de ataque. Así, por ejemplo,
150 Véase: https://www.strozfriedberg.com/blog/2017-prediction-criminals-harness-iot-devices-botnets-attack-infrastructure/ 151 Véase: https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 152 Véase: http://securityaffairs.co/wordpress/51726/cyber-crime/ovh-hit-botnet-iot.html 153 Véanse https://arstechnica.com/information-technology/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is- back-with-a-vengeance/ y https://research.checkpoint.com/new-iot-botnet-storm-coming/ 154 Véase: https://www.symantec.com/connect/blogs/hajime-worm-battles-mirai-control-internet-things 155 Véase: https://www.wired.com/story/devils-ivy-iot-vulnerability/ 156 Véase https://www.incapsula.com/blog/pulse-wave-ddos-pins-down-multiple-targets.html
Centro Criptológico Nacional SIN CLASIFICAR 50
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
el código fuente de la botnet Mirai, utilizado en el ataque al sitio web de Brian Krebs, se hizo público a finales de septiembre de 2016157.
Esta difusión pública provocó que los autores del anterior código dañino NyaDrop, menos peligroso, reapareciera, mostrando una técnica de ataque mejorada158. En noviembre, 900.000 clientes de Deutsche Telekom fueron víctimas de otra botnet Mirai159, que infectaba los routers Speedport, lo que provocaba la caída de su conexión a Internet. En el mismo mes, se anunció que se había explotado una vulnerabilidad de doce años en OpenSHH para obtener acceso a dispositivos con conexión a Internet160, que, con posterioridad, se usó para realizar ataques adicionales en otros sistemas. En el primer trimestre de 2017 se observó un incremento en el uso de botnets y herramientas especializadas de ataque tales como Ursnif, DELoader y Zeus Panda161. Por otro lado, la creciente tendencia a la virtualización podría provocar que tales sistemas fueran utilizados como elementos de botnets162 para eventuales ataques. Los ataques DDoS perpetrados con la ayuda de dispositivos IoT son muy difíciles de contrarrestar porque, esencialmente, los fabricantes prestan poca o nula atención a la seguridad de tales dispositivos, los usuarios no cambian las contraseñas predeterminadas y el proceso de instalación del dispositivo no lo hace obligatorio. Por
157 Véase: https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/ 158 Véase: https://www.grahamcluley.com/nyadrop-exploiting-iot-insecurity-infect-devices-malware/ 159 Véase: https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/ 160 Véase: https://www.theregister.co.uk/2016/10/13/sshowdown_botnet/ 161 Véase: https://www.esecurityplanet.com/threats/q1-2017-saw-a-massive-surge-in-botnet-malware-activity.html 162 Véase: https://biztechmagazine.com/article/2017/01/microsoft-warns-hacked-virtual-machines-are-very-real-threat
Centro Criptológico Nacional SIN CLASIFICAR 51
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
otro lado, las actualizaciones de software del proveedor para parchear vulnerabilidades todavía no son habituales en dispositivos IoT163. Todo ello da como resultado que la creación de botnets IoT sea una empresa relativamente fácil y que puedan permanecer sin ser detectados por el propietario de un dispositivo durante un largo período de tiempo. A finales de 2017 se descubrió una nueva botnet (denominada IoTroop164) mediante la acumulación de sistemas de IoT y dispositivos inteligentes como cámaras IP inalámbricas.
7.8 Ataques de Denegación de Servicio (DDoS)
El año 2017 evidenció que los ataques DDoS están en aumento. Según los datos manejados165, más de un tercio de las organizaciones analizadas se enfrentaron un ataque DDoS, en comparación con el 17% de 2016; una tendencia en alza que evidencia que todas las organizaciones, independientemente del tamaño, están en riesgo de sufrir un ataque DDoS. No obstante, no conviene olvidar que, en ocasiones, este tipo de acciones pretenden ocultar otros tipos de ataques. Según las mismas fuentes, en la primera mitad de 2017 el 53% de las entidades afectadas por un ataque DDoS afirmaron que se había utilizado para ocultar otros ataques, tales como: infección por código dañino (50%), fuga o sustracción de datos (49%), intrusión de red o piratería (42%) o sustracción económica (26%). Además, se ha evidenciado que el tamaño de los ataques DDoS se está incrementando y, tal y como se ha mencionado, el número de dispositivos IoT vulnerables contribuyen de manera significativa al aumento en el tamaño de los ataques DDoS166, sin que sea necesario el uso de técnicas especiales (de amplificación) para aumentar el efecto de tales acciones.
163 Véase: https://www.ietf.org/blog/2016/07/patching-the-internet-of-things-iot-software-update-workshop-2016/ 164 Véase: https://research.checkpoint.com/new-iot-botnet-storm-coming/ 165 Véase: https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-research-shows-ddos-devastation-on- organizations-continues-to-climb 166 Véase: http://www.securityweek.com/iot-botnets-fuel-ddos-attacks-growth-report
Centro Criptológico Nacional SIN CLASIFICAR 52
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En mayo de 2017, TrendMicro informó sobre la botnet Persirai, capaz de atacar 100 modelos diferentes de cámaras IP167 y sustentar ataques DDoS. En la actualidad, se estima que 120.000 cámaras vulnerables están en riesgo de formar parte de una botnet.
A finales de 2017, lal botnet Mirai fue protagonista del mayor ataque DDoS de la historia por ancho de banda: más de 1 Tbps168 contribuyendo de manera decisiva a concienciar a los usuarios a prestar más atención a sus dispositivos IoT y a los propios fabricantes de tales dispositivos. Esto propició que la magnitud de este tipo de ataques volumétricos disminuyera sustancialmente en los meses siguientes, pese al crecimiento anterior de los denominadas “ataques por reflexión” (CLDAP5)169.
Por otra parte, los ataques DDoS con múltiples vectores de inicialización siguen en aumento. Según las fuentes consultadas170, el 74% de los ataques DDoS en el segundo trimestre de 2017 utilizó, al menos, dos vectores diferentes171.
167 Véase: http://blog.trendmicro.com/trendlabs-security-intelligence/persirai-new-internet-things-iot-botnet-targets-ip- cameras/ 168 Véase: https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet 169 Véase: https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/q1-2017-state-of-the-internet-security- report.pdf 170 Véase: https://www.verisign.com/assets/report-ddos-trends-Q22017.pdf 171 Como fue el caso de la botnet Mirai, que tuvo la capacidad para lanzar múltiples tipos de ataques de inundación TCP y UDP, además de ataques a la capa de aplicación.
Centro Criptológico Nacional SIN CLASIFICAR 53
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Como vaticinábamos en el informe del pasado año, los ataques “DDoS-as-a- Service” siguen en pleno desarrollo debido, fundamentalmente, al descenso de los costes de las herramientas precisas para perpetrarlos172. Algunos ejemplos fueron los ataques -muy grandes en términos de ancho de banda- al sitio web del periodista Brian Krebs en enero de 2017173. Un ejemplo: en 2016 la Organización Nacional de Administración de Proveedores de Internet (NIBP) de Holanda procesó 681 ataques DDoS (casi dos ataques diarios). Más de la mitad de estos ataques tenían un tamaño de entre 1 y 10 Gbps. Aproximadamente, el 5% tenía más de 20 Gbps y alrededor del 30% tenía menos de 1 Gbps. El ataque más grande fue de 53 Gbps y duró 14 minutos. En 2016, más de la mitad de los ataques duró menos de 15 minutos, casi el 5% duró más de cuatro horas y tres de los ataques duraron más de cinco días consecutivos.
Por otro lado, 2017 evidenció que, aunque el ancho de banda implicado en los ataques DDoS es más pequeño que en años anteriores, se usa de manera más eficiente. Un ejemplo de evolución: si en 2015 el ataque más agresivo se situaba en torno a los 500 Gbps, al final del año 2016 los ataques contra OVH superaron 1Tbps, mientras que
172 Un ejemplo: según https://securelist.com/the-cost-of-launching-a-ddos-attack/77784/ , se estima que los costes de un ataque DDoS de una hora usando recursos de un proveedor de servicios en la nube pueden estar en torno a 4 dólares. Además de ello, algunos operadores ubicados en China ofrecen tales servicios utilizando sitios web que incluyen cuadros de mando que muestran la cantidad de ataques realizados y la cantidad de bots en línea, tal y como se señala en http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html 173 Véase: https://krebsonsecurity.com/tag/ddos-for-hire/
Centro Criptológico Nacional SIN CLASIFICAR 54
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
el ataque de la botnet Mirai contra el sitio de Brian Krebs alcanzó los 620 Gbps. En 2017, en general, pese a que los ataques tendieron a durar menos de una hora -solo ataques muy concretos duraron más de 4 horas-, se utilizaron mecanismos de ráfagas174, procedimiento que incrementa la tensión en la respuesta de las entidades-víctima.
Finalmente, hay que señalar la identificación de un grupo de hackers turcos que está recompensando a otros para llevar a cabo ataques. Para ello han construido y publicado una herramienta DDoS que otorga puntos a aquellos que atacan un sitio web predeterminado175. Así, les permite utilizar el sitio para obtener otras herramientas de hacking.
Tras las acciones contra DYN en 2016176, el año 2017 fue testigo del aumento de los ataques DDoS basados en DNS -ejemplo de ello fueron las acciones contra ciertos medios de comunicación franceses177-. Por otro lado, continúa la penetración de las acciones de extorsión bajo amenaza de ataques DDoS. Por ejemplo, el grupo Armanda Collective178 exigió 315.000 dólares a
174 Véase: https://www.incapsula.com/ddos-report/ddos-report-q1-2017.html 175 Véase: https://www.bleepingcomputer.com/news/security/turkish-hackers-are-playing-a-ddos-for-points-game/ 176 Véase: https://blogs.akamai.com/2016/10/dyn-ddos-attack-wide-spread-impact-across-the-financial-services-industry-part- 1.html 177 Véase: https://www.bloomberg.com/news/articles/2017-05-10/french-websites-knocked-offline-in-cyber-attack-on-cedexis 178 Véase: https://www.bleepingcomputer.com/news/security/-1-million-ransomware-payment-has-spurred-new-ddos-for- bitcoin-attacks/
Centro Criptológico Nacional SIN CLASIFICAR 55
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
siete bancos surcoreanos a cambio de no interrumpir su servicio en línea, mientras que en otras ocasiones los pagos habrían de satisfacerse en bitcoins179. Por último, hay señalar que, aunque la mayoría de los ataques son todavía pequeños en comparación con Mirai, su volumen ha aumentado en 2017, advirtiéndose que no tienen que ser necesariamente grandes para alcanzar su objetivo final. Debido fundamentalmente a la mayor facilidad para su perpetración, los ataques volumétricos -que representaron en 2017 el 99%- seguirán siendo los más frecuentes frente a aquellos otros dirigidos a la capa de aplicación, cuyo desarrollo exige un conocimiento técnico mayor.
8. MEDIDAS
Aunque todos los países desarrollados están adoptando medidas de seguridad digital, seguir el ritmo de las vulnerabilidades es cada vez más difícil. Este epígrafe describe las principales acciones que se han tomado en el periodo considerado en pos de lograr unos sistemas de información más resilientes.
8.1 Dirigidas a los individuos: empleados y usuarios
Las organizaciones se están involucrando cada vez más en la denominada Shadow IT, esto es, recursos no gestionados directamente por la organización (Managed Services Providers/Information Sharing and Analysis Center). Al hacerlo se usan soluciones TIC que no han sido adquiridas a través del procedimiento habitual de compra. La consecuencia es que, en muchas ocasiones, los procesos de gestión no se aplican a tales sistemas, haciendo que su nivel de seguridad no pueda administrarse. El uso de servicios en la nube para Shadow IT comporta riesgos adicionales. La facilidad de uso, la compartición eficiente de recursos y los ahorros de costes suelen estar detrás de la adopción de soluciones gestionadas. Extendidos ejemplos de ello son el correo electrónico personal, los servicios en la nube (frecuente para el intercambio de archivos), convertidores de archivos on-line y aplicaciones de chat para propósitos comerciales. Por su parte, los navegadores de Internet están implementando medidas para mantener a los usuarios mejor informados. Por ejemplo, Google Chrome y Mozilla Firefox han anunciado la señalización como inseguros de todos los sitios web que no usen protocolo HTTPS. Inicialmente, los fabricantes de navegadores están optando por mostrar solo comentarios de seguridad cuando una página web HTTP contiene un formulario con un campo de contraseña. Finalmente, los fabricantes pretenden advertir
179 Por cierto, 2017 fue testigo de nuevos intentos de ataque dirigidos a los exchanges de bitcoin.
Centro Criptológico Nacional SIN CLASIFICAR 56
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
del riesgo en todas las páginas http. Aunque al usuario medio puede importarle poco este tipo de notificación en una página web informativa, la medida podría alentar a los propietarios de sitios web a usar https. Marcar el tráfico HTTP no cifrado como inseguro ayuda a los usuarios a protegerse contra la interceptación de las comunicaciones. Sin embargo, el uso de HTTPS no garantiza que el destino sea quien dice ser. La aparición de certificados domain validate garantiza que quien es titular de un nombre de dominio puede solicitar un certificado válido para ese nombre de dominio. Pese a todo, podría engañarse al usuario con nombres de dominio similares a los legítimos.
8.2 Dirigidas a la tecnología
Los mensajes SMS y la autenticación de dos factores En julio de 2016, el National Institute of Standards and Technology (NIST) de EE. UU. publicó un borrador de directrices en el que el uso de mensajes SMS ya no se consideraba adecuado para la autenticación de dos factores180 alegando que la interceptación de mensajes SMS ha alcanzado un umbral tan bajo para los atacantes que el NIST recomienda considerar otros segundos factores alternativos. Un ejemplo: en enero de 2017 se detectó un ataque en Asia en el que se interceptaron los códigos TAN para banca-on-line enviados por SMS. El ataque se llevó a cabo utilizando mensajes falsos de acuerdo con el protocolo SS7. La vulnerabilidad de este protocolo se conoce desde hace tiempo y es inherente al tráfico de SMS. Además de interceptar los mensajes SMS mediante la explotación del protocolo SS7, la capacidad de sincronizar mensajes SMS en diferentes dispositivos representa una amenaza en el uso de los SMS para la autenticación de dos factores. Los equipos de investigación han demostrado que tanto Android como iOS son susceptibles a ciberataques en los que se puede acceder a los mensajes SMS recibidos a través del ordenador del destinatario181. La explotación de las vulnerabilidades de Internet of Things Ya se han señalado las vulnerabilidades asociadas a Internet of Things y las consecuencias en el otoño de 2016 de la botnet Mirai -consecuencias amplificadas por la publicación del código fuente de la botnet-. En mayo de 2017, la Comisión Europea publicó una declaración en la que anunciaba medidas para la certificación de dispositivos IoT182.
180 Véase: https://pages.nist.gov/800-63-3/ 181 Véase: https://www.vvdveen.com/publications/BAndroid.pdf 182 Véase: https://ec.europa.eu/commission/commissioners/2014-2019/ansip/announcements/statement-vice-president-ansip- pressconference-mid-term-review-digital-single-market-strategy_en
Centro Criptológico Nacional SIN CLASIFICAR 57
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
La botnet Mirai ha demostrado la posibilidad de desarrollar enormes ataques DDoS, cuyos costes de prevención solo pueden ser asumidos por las grandes organizaciones. Pudiéndose afirmar que todavía no hay una solución clara para los efectos secundarios no deseados de Internet of Things. Pese a los llamamientos hechos para establecer un marco legal para la responsabilidad de los productos involucrados, la falta de sostenibilidad TIC seguirá siendo un problema si el sector no puede regularse a sí mismo183. Claridad en las características de seguridad de los productos La claridad en las medidas de seguridad de los productos es fundamental para garantizar un uso seguro de los mismos. Un ejemplo: en los procedimientos legales contra Samsung, la Asociación de Consumidores Holandesa exigió que se proporcionaran actualizaciones durante, al menos, los dos años posteriores a la compra o cuatro años después de la presentación de nuevos dispositivos Android184. Esto es debido a que, conscientes de su importancia, los usuarios sientan exigir requisitos más explícitos y características de seguridad más transparentes. Solo entonces se estará en condiciones de hacer una elección adecuada. Sin la debida transparencia los productos se elegirán, principalmente, en función del precio y la velocidad de introducción en el mercado. Una mayor transparencia brinda a los proveedores la oportunidad de mostrar elementos diferenciadores de la competencia. Vulnerabilidades esenciales Pese a que los fabricantes han venido solucionando durante años las vulnerabilidades del software en base a actualizaciones de seguridad, permanece la amenaza de vulnerabilidades más ligadas a la esencia misma del software y que, en consecuencia, son más difíciles de corregir.
Por ejemplo, en agosto de 2016, se anunciaron las vulnerabilidades QuadRooter185 en Android, en los controladores para ciertos chips de diferentes proveedores, entre ellos el chip Qualcomm -muy usual en wifi-.
Esta vulnerabilidad no puede ser resuelta con un simple parche para Android, sino que debe ser distribuido por el propio fabricante del dispositivo. Puesto que esa
183 Véase: https://d66.nl/content/uploads/sites/2/2016/11/internet-der-dingen-notitie.pdf 184 Véase: https://www.consumentenbond.nl/nieuws/2016/bodemprocedure-tegen-samsung-van-start 185 Véase: http://blog.checkpoint.com/2016/08/07/quadrooter/
Centro Criptológico Nacional SIN CLASIFICAR 58
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
circunstancia alarga el tiempo para solucionar el problema, se han hecho públicos algunos consejos dirigidos a los usuarios de Android para mitigar la amenaza186. Durante 2016 y 2017 se han publicado diferentes trabajos referidos a la explotación de vulnerabilidades de este tipo. Algunos ejemplos: Dedup Est Machina explota la duplicación de memoria para tomar el control de un navegador, Flip Feng Shui permite que una máquina virtual atacante penetre en la memoria de otras máquinas virtuales o ASLR⊕Cache, que puede usarse para eludir el Address Space Layout Randomization (ASLR)187. La necesidad del cifrado La utilización de técnicas de cifrado es cada vez más habitual. Por ejemplo, muchos sitios web ya usan HTTPS, circunstancia que obedece, en parte, al menor coste del hardware y del ancho de banda necesarios y, en algunos casos, la gratuidad de los certificados electrónicos188. Conscientes de esta realidad, algún estado europeo (Holanda, por ejemplo) ha decidido hacer obligatorio el uso de HTTPS en todos los sitios web gubernamentales189. El uso del cifrado extremo a extremo también se ha extendido a las aplicaciones de mensajería instantánea (WhatsApp o Telegram, entre otras). Esta realidad ha generado una importante demanda de mecanismos de cifrado en todo tipo de aplicaciones. Por otro lado, el uso creciente del cifrado también requiere la permanente confianza en los proveedores de certificados. Por ejemplo, a finales de 2016, Mozilla, Apple y Google suspendieron la confianza a los proveedores de servicios de certificación WoSign y StartCom. WoSign estaba infringiendo los acuerdos de confidencialidad al emitir certificados con una fecha de validez pasada sin que, además, diera la suficiente información respecto de la adquisición de su competidor StartCom, lo que obligó a los clientes de ambas compañías a encontrar nuevos proveedores190. Pese a todo, el cifrado protege los datos durante un período limitado de tiempo. A medida que los ordenadores son más potentes, el cifrado que alguna vez se consideró
186 Véase: https://www.ncsc.gov.uk/advisory-quadrooter-vulnerability-affecting-android 187 Véanse: https://www.vusec.net/projects/dedup-est-machina/ , https://www.vusec.net/projects/flip-feng-shui/ y https://www.vusec.net/projects/anc/ 188 Es el caso de la iniciativa Let’s Encrypt. Véase: https://letsencrypt.org/2017/01/06/le-2016-in-review.html 189 Véase: http://www.nu.nl/internet/4399254/plasterk-wil-toch-beveiligde-verbinding-verplichten-alle-overheidssites.html 190 Véase: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ , https://support.apple.com/en-us/HT204132 y https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Centro Criptológico Nacional SIN CLASIFICAR 59
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
fuerte deja de serlo. En otras palabras: la implantación de ordenadores cuánticos podría tener importantes consecuencias para los datos actualmente cifrados191.
8.3 Dirigidas a las Organizaciones
La seguridad de los proveedores Aunque las grandes organizaciones (públicas y privadas) son, en general, capaces de organizar y gestionar adecuadamente su seguridad a través de políticas, procedimientos y medidas específicas; con frecuencia, sin embargo, hacen uso de proveedores en los que el nivel de madurez es más bajo. Por ejemplo, cuando se adquiere un determinado hardware o software, los requisitos de seguridad suelen estar presentes en los Pliegos o en los Contratos. Sin embargo, los mecanismos de los que pueda disponer los proveedores para garantizar la permanente satisfacción de tales requisitos es, con frecuencia, desconocida, lo que provoca en muchas ocasiones que cambios o actualizaciones posteriores no cumplan con los requisitos de seguridad iniciales192.
Un caso para la reflexión: La gestión íntegramente en papel de las elecciones en Holanda.
En Holanda, los votos se emiten utilizando papeletas y las papeletas se cuentan manualmente por el Comité Electoral. Por lo tanto, estos procesos no son vulnerables a los ciberataques.
En enero de 2017, se publicaron informes sobre posibles vulnerabilidades en el software de apoyo para elecciones que los municipios, los principales comités electorales y el Consejo Electoral utilizan para procesar los recuentos finales de las mesas electorales193. El 1 de febrero de 2017, el Ministro del Interior decidió aplicar medidas para evitar la duda sobre la fiabilidad del resultado de las elecciones194. Por lo tanto, se prohibió la transferencia digital de los resultados.
Los ataques por ransomware y DDoS, en el día a día de las grandes organizaciones Los ataques DDoS o las infecciones por ransomware constituyen ya un lugar común para las grandes organizaciones. Tanto que su mitigación se considera una actividad cotidiana. Estas organizaciones suelen salir airosas de los ataques DDoS invirtiendo en procesos y herramientas de mitigación. Sin embargo, la protección contra ataques a gran escala -como los acaecidos con la botnet Mirai- es siempre difícil. Pese a que restaurar desde la copia de seguridad tras una infección por ransomware se ha
191 Véase “Post-quantum cryptography - Protect today’s data against tomorrow's threats” Factsheet FS-2017-02 | version 1.1 | 31 August 2017 - NCSC 192 Lo que es especialmente delicado en los denominados Operadores de Servicios Esenciales (inlcuyendo las organizaciones del Sector Público) y los Proveedores de Servicios Digitales, en la terminología usada por la Directiva NIS. 193 Véase: https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections, 194 Véase: https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2017Z01527&did=2017D03236
Centro Criptológico Nacional SIN CLASIFICAR 60
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
convertido en una rutina para muchas organizaciones, estas operaciones de recuperación siguen siendo costosas y lentas y la pérdida de datos no siempre se puede deshacer. Cuando tales acciones afectan a organizaciones más pequeñas, suele carecerse de la experiencia debida y de los medios económicos para invertir en la mitigación de ataques DDoS y no siempre se cuenta con un mecanismo de copia de seguridad que funcione correctamente para recuperarse de las infecciones por ransomware195.
Por otro lado, muchas organizaciones pequeñas son vulnerables porque las actualizaciones de seguridad no se instalan a tiempo. Muchos son los estudios que han revelado que estas organizaciones implementan relativamente pocas medidas o son limitadas. Por ejemplo: casi todas las empresas usan software antivirus, pero solo un tercio, o incluso menos, implementan otras medidas tales como tener una política de seguridad de la información, personal capacitado y procedimientos de recuperación para incidentes. Esto es así al mismo tiempo que un altísimo porcentaje de tales empresas sostiene que sus procesos de negocios dependen totalmente de las TIC corporativas.
8.4 El marco estratégico y legal
El marco estratégico europeo en materia de ciberseguridad A continuación, se muestra la lista de las diferentes estrategias nacionales de la UE con su fecha de su publicación. En ella se aprecia como en 2017 dos estados de la UE (Polonia y Suecia) publicaron una nueva versión de sus respectivas estrategias nacionales de ciberseguridad:
195 Véase: https://www.ponemon.org/local/upload/file/Ransomware%20Report%20Final%201.pdf
Centro Criptológico Nacional SIN CLASIFICAR 61
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Estrategias Nacionales de Ciberseguridad de la Unión Europea196 Austria: Austrian Cyber Security Strategy (2013) Bélgica: Belgian Cyber Security Strategy (2014) Bulgaria: NCSS of the Republic of Bulgaria (2016) Croacia: Croatian Cyber Security Strategy (2015) República Checa: Cyber Security Strategy of Czech Republic 2011-2015 (2011) Chipre: Cyber Security Strategy of the Republic of Cyprus (2013) Dinamarca: The Danish Cyber and Information Security Strategy (2015-2016) / Digital Strategy (2016-2020) Estonia: Estonian Cyber Security Strategy (2014) Finlandia: Finnish Cyber Security Strategy (2013) Francia: French National Digital Security Strategy (2015) Alemania: Cyber Security Strategy for Germany (2011) Grecia: Greek National Cyber Security Strategy (2017) Hungría: National Cyber Security Strategy (2013) Irlanda: Irish National Cyber Security Strategy (2015-2017) Italia: National strategic framework for cyberspace security (2013) Letonia: Latvia's Cyber Security Strategy (2014) Lituania: Programme for the development of electronic information security (cyber security) for 2011-2019 (2011) Luxemburgo: National strategy on cyber security (2015) Malta: National Cyber Securty Strategy (2016) Holanda: National Cyber Security Strategy (2013) Polonia: National Cyber Security Strategy (2017) / Cyberspace Protection Policy of the Republic of Poland (2013) Portugal: National Cyberspace Security Strategy (2015) Rumania: Cyber Security Strategy in Romania (2011)
196 Fuente: ENISA - https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map
Centro Criptológico Nacional SIN CLASIFICAR 62
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Eslovaquia: Cyber Security Concept of the Slovak Republic (2015-2020) / Action Plan of Implementation of Cyber Security Concept of the Slovak Republic (2015- 2020) Eslovenia: Slovenian Cyber Security Strategy (2016) España: The National Cybersecurity Strategy (2013) Suecia: National Cyber Security Strategy (2017) Reino Unido: National Cyber Security Strategy (2016-2021)
La lista completa de los países con Estrategia Nacional de Ciberseguridad y sus textos puede encontrarse en este enlace.197.
El marco legal europeo El marco legal europeo se está construyendo para imponer obligaciones a los (nuevos) agentes del mercado. Estos agentes están desempeñando un nuevo papel en la sociedad, o están asumiendo parcial o totalmente el papel de actores ya existentes y, a menudo, ya regulados. Por ejemplo, la Comisión Europea ha propuesto reemplazar la directiva e-Privacy por una regulación198 cuyo alcance cubrirá muchos otros servicios de comunicaciones en capas superiores del sistema -como WhatsApp, Facebook Messenger y proveedores de correo electrónico. Además de los tradicionales proveedores de telecomunicaciones199-. Con ello se está intentando proteger a los usuarios finales, desarrollando un marco equitativo para los proveedores.
La respuesta, sin embargo, no ha sido pacífica: mientras los actores entrantes se oponen a la regulación, los actores establecidos la apoyan200. En los Estados Unidos, por el contrario, la situación es distinta: los actores establecidos están clamando por una menor regulación que les permita competir en el mismo terreno de juego que los recién llegados201. El Reglamento Europeo eIDAS es un ejemplo de regulación aplicable a los agentes del mercado que desempeñan un papel importante en la sociedad digital: los
197 NATO Cooperative Cyber Defence Centre of Excellence. 198 Véase: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications 199 Véase: http://europa.eu/rapid/press-release_IP-17-16_en.htm 200 Véase: https://www.mobileworldlive.com/featured-content/home-banner/facebook-vodafone-in-opposition-over-e-privacy- directive/ 201 Véase: https://tweakers.net/nieuws/122729/amerikaanse-senaat-stemt-in-met-verkoop-browsegeschiedenis-door- providers.html
Centro Criptológico Nacional SIN CLASIFICAR 63
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
llamados Servicios de Confianza202. Este Reglamento constituye la base legal para las firmas electrónicas, sellos, marcas de tiempo, documentos y certificados de sitios web y las responsabilidades de quienes los suministran. Por su parte, el Reglamento General de Protección de Datos, adoptado el 27 de abril de 2016, también comporta nuevas responsabilidades para los procesadores de datos personales, incluso en el ámbito de la seguridad de la información y el diseño de la privacidad203. El usuario también tiene derecho a obtener sus datos personales fácilmente y a transferir sus datos a otro proveedor. Un derecho conocido como “portabilidad de datos” que evita el bloqueo del proveedor cuando los usuarios estuvieren vinculados a un único proveedor de servicios. La importancia de los comportamientos Internacionales en defensa de la democracia En el período previo a las elecciones al Parlamento de Cataluña, en diciembre de 2017, se manifestaron preocupaciones sobre la posibilidad de que se vieran influenciadas por ciberataques, como ya sucediera en las elecciones presidenciales de EE. UU.
La protección de la soberanía de los países es un principio importante en el derecho internacional. Sin embargo, su interpretación y aplicación en el dominio digital no siempre está clara. El uso del Manual 2.0 de Tallinn sobre la Ley Aplicable a las denominadas Cyber Operations puede proporcionar una mayor claridad en la interpretación de las regulaciones actuales204. La interpretación de los códigos de conducta puede tener consecuencias de gran alcance. La OTAN ha declarado una vez más que un ataque cibernético podría ser la base para invocar el Artículo 5 (defensa colectiva) del Tratado del Atlántico Norte.
La Organización reconoce el dominio cibernético como el cuarto dominio de la guerra205. La importancia de las normas internacionales de comportamiento en el ciberespacio está aumentando. Crear mayor transparencia y seguridad jurídica sobre lo
202 Véase: http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32014R0910 203 Véase: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679 204 Véase: https://ccdcoe.org/tallinn-manual-20-international-law-applicable-cyber-operations-be-launched.html 205 Véase: http://www.nato.int/cps/en/natohq/opinions_132349.htm?selectedLocale=en
Centro Criptológico Nacional SIN CLASIFICAR 64
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
que está permitido y lo que no, así como la respuesta permitida hará que los conflictos futuros sean más manejables. La transferencia del control de Internet El 1 de octubre de 2016, el gobierno de EE. UU. transfirió formalmente el control de las funciones esenciales de Internet de la Administración Nacional de Telecomunicaciones e Información de los Estados Unidos a la organización privada ICANN206. Para mantener una Internet libre y abierta, se ha establecido una estructura de gestión de la ICANN acorde con el modelo multi-stakeholder, donde -en un intento de lograr una representación equilibrada de diferentes intereses207- están representadas las empresas, las autoridades públicas, los expertos técnicos y la sociedad civil. Sin embargo, no todos los países tienen la misma opinión sobre el papel de los gobiernos en el control de Internet. Los motivos subyacentes suelen ser de naturaleza político-económica y social o las opiniones sobre derechos fundamentales (como la libertad de expresión o los intereses económicos relacionados con la provisión digital global de servicios). Rusia y China, por ejemplo, están persiguiendo un mayor control nacional de la infraestructura de Internet y la información que circula a su través208. Según estos países, los estados también deberían ser soberanos en el dominio digital y, por lo tanto, deberían poder ejercer el control. Sin embargo, todo esto entra en colisión con los principios occidentales sobre seguridad en Internet. En general, los países occidentales (España entre ellos) están a favor de una Internet abierta y sin fragmentar, donde se puedan materializar las oportunidades económicas derivadas de la digitalización global y donde se garanticen los derechos y libertades fundamentales y la seguridad209.
Disparidad de criterios en torno a la Revelación Responsable de Vulnerabilidades La revelación de vulnerabilidades de los sistemas, servicios y productos de hardware y software TIC puede tener un impacto importante. La divulgación coordinada de vulnerabilidades o la divulgación responsable es, por lo tanto, un asunto que está
206 Las funciones esenciales de IANA comprenden coordinar y emitir direcciones IP para sistemas autónomos, la gestión de servidores raíz DNS y la gestión de una serie de protocolos de Internet. 207 Véase: https://www.ntia.doc.gov/other-publication/2016/q-and-iana-stewardship-transition-0 208 Véase: https://jsis.washington.edu/news/china-russia-cybersecurity-cooperation-working-towards-cyber-sovereignty/ 209 Al tiempo de redactarse el presente documento, el Grupo de Trabajo de Derechos Digitales, constituido a iniciativa del Ministerio de Energía, Turismo y Agenda Digital, a través de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, está ultimando la redacción del libro “Derechos Digitales de los Ciudadanos”, que se presentará en el Parlamento español. El capítulo 30, redactado por el Dr. Carlos Galán, es el monográficamente dedicado a la Ciberseguridad.
Centro Criptológico Nacional SIN CLASIFICAR 65
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
recibiendo una gran atención por parte de todos los actores involucrados. Por un lado, las divulgaciones aseguran que las partes responsables pueden resolver las vulnerabilidades y que los usuarios pueden implementar contramedidas. Por otro lado, las divulgaciones podrían permitir a las partes malintencionadas explotar las vulnerabilidades antes de implementar las debidas soluciones. El período de tiempo que media entre la revelación de la vulnerabilidad y su solución es un asunto delicado. Por ejemplo, durante el período considerado, Project Zero de Google publicó una serie de vulnerabilidades en productos de Microsoft antes de que estuviera disponible un parche210. De conformidad con la política de Google Project Zero, la publicación automática se produjo 90 días después de que se descubriera la vulnerabilidad y, aunque este hecho podría ir en contra de los intereses de los usuarios al permitir a los agentes de las amenazas explotar las vulnerabilidades detectadas, Google afirmó que su intención es mejorar la velocidad de reacción de la industria; que terminará por beneficiar a todos los usuarios y a la sociedad211. Otro punto delicado es la forma en la que se da cierto tipo de informaciones sobre sospechas de vulnerabilidades en los medios de comunicación. Así, por ejemplo, en respuesta a un informe, el diario New York Times tuiteó que los servicios de inteligencia podrían eludir el cifrado de WhatsApp, Signal y Telegram, aunque la redacción de la noticia pecó de una excesiva simplificación212. Los informes de los medios pueden, por un lado, contribuir de forma importante a la concienciación sobre ciberseguridad, pero, por otro lado, una información poco precisa puede provocar una reacción exagerada de la sociedad que podría reducir la confianza en las tecnologías de la información y en los servicios prestados. Por lo tanto, depende de los medios de comunicación y de los propios periodistas encontrar un adecuado equilibrio entre la importancia que reviste una noticia cuando posee un claro interés público informativo y la introducción de los matices necesarios.
Actualización normativa en España En España, 2018 ha sido testigo de la publicación de dos nuevas Instrucciones Técnicas de Seguridad: Resolución de 27 de marzo de 2018 de la Secretaría de Estado de Función Pública por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información
210 Véase: https://www.security.nl/posting/505252/Google+onthult+ongepatcht+lek+in+Internet+Explorer+en+Edge 211 Véase: https://googleprojectzero.blogspot.nl/2015/02/feedback-and-data-driven-updates-to.html 212 Véase: https://techcrunch.com/2017/03/07/is-signal-app-safe-wikileaks/
Centro Criptológico Nacional SIN CLASIFICAR 66
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Resolución de 13 de abril de 2018 de la Secretaría de Estado de Función Pública por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad. Ambas se suman a las ITS de Conformidad con el ENS y de Informe de Estado de Seguridad, publicadas con anterioridad.Al tiempo de redactarse este Informe se está culminando el proceso de transposición de la Directiva (UE) 2016/1148, de 6 de julio, Directiva NIS, que afectará también al Sector Público, y que, entre otras cuestiones: - Identificará los Operadores de Servicios Esenciales. - Las medidas de Seguridad que habrán de aplicar. - Las Autoridades competentes. - Identificará los CSIRTs213 de referencia. - Asignará al CCN-CERT la coordinación y respuesta técnica en casos de especial gravedad. Además de ello, y como consecuencia de la plena aplicación del Reglamento (UE) 2016/679, de 27 de abril, de tratamiento y libre circulación de datos personales (Reglamento General de Protección de Datos), se ha elaborado un Proyecto de nueva Ley Orgánica de Protección de Datos que, derogando la vigente, entrará a regular aquellas cuestiones que el RGPD deja a la consideración de los estados miembros.
8.5 La actividad del CCN-CERT
Seguidamente se examinan con brevedad las actividades más significativas de la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT durante 2017. Un servicio que se creó en el año 2006 como CERT Gubernamental Nacional español y cuyas funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas
213 CSIRT: Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informática). El término CSIRT suele emplearse en Europa en lugar del término protegido CERT, registrado en EE.UU. por el CERT Coordination Center (CERT/CC)
Centro Criptológico Nacional SIN CLASIFICAR 67
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.
Respuesta a los ciberataques Durante el año 2017, el CCN-CERT, gestionó un total de 26.472 incidentes, frente a los 20. 807 del año 2016 (un 27,22% más) en los sistemas del Sector Público español y de empresas de interés estratégico para el país. Diariamente, el CERT Gubernamental español se enfrentó a cuatro ataques de una peligrosidad muy alta o crítica, en función de la tipología del mismo (tipo de amenaza, origen, perfil de usuario afectado, número o tipología de sistemas afectados, impacto…).
Centro Criptológico Nacional SIN CLASIFICAR 68
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Entre los principales ataques detectados en número, las intrusiones (ataques dirigidos a explotar vulnerabilidades e introducirse en el sistema) y el código dañino (troyanos, spyaware) fueron los principales vectores de ataque. De hecho, el CCN-CERT ha constatado que la instalación de las actualizaciones o parches de seguridad de las diferentes tecnologías que subsanan las vulnerabilidades, es todavía muy lenta. Así, en dos de las crisis más conocidas de este año (la herramienta de desarrollo de aplicaciones web de Apache Struts o el ransomware WannaCry) los primeros ataques se produjeron dos meses después de conocer la vulnerabilidad. No obstante, son las amenazas persistentes avanzadas, un tipo de ataque que suele estar dirigido y desarrollado con infraestructuras y recursos al alcance de muy pocos, las que más preocupan en el seno del Centro Criptológico Nacional.
Conviene reseñar, además, la eficacia en la actuación del CERT Gubernamental Nacional ante la crisis más mediática de la historia de la ciberseguridad, la infección del ya citado WannaCry, el pasado mes de mayo. Entonces, se desarrolló un parche en tiempo récord, que fue descargado en más de 50.000 ocasiones en diversos países, entre ellos España, Estados Unidos, Gran Bretaña, Francia, Bélgica o Portugal. También se registró un incremento importante de ataques de Denegación de Servicio (en gran medida por la campaña contra las Administraciones Públicas y empresas en las cuatro fases de la denominada #OpCatalunya) y un aumento del número de variedades de código dañino detectadas, tanto para equipos fijos como, en particular, para las plataformas móviles.
Centro Criptológico Nacional SIN CLASIFICAR 69
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Código dañino
Saguaro (enero 2017) OwnCloud (febrero 2017)
Actor mexicano con intereses económicos y enfocado Suite que permite tener un servidor en una nube privada en el robo de credenciales para compartir archivos, gestionar tareas, reproducir archivos online… Uso de múltiples troyanos para crear botnets Explotación de varias vulnerabilidades, acceso a archivos y Varios servidores C2 habían sido registrados en España. ejecución de código... Se hizo un DNS sinkholing sobre dichos dominios. 10 entidades afectadas. Algunas de ellas, siguen siendo ~17.000 bots vulnerables. > 60.000 IPs diferentes afectadas
> 36 países afectados
Struts (marzo 2017) Wannacry 2.0 (mayo 2017)
Herramienta Apache-Struts 12.05.2017 se tiene constancia de ciberataque tipo ransomware(WannaCry) El 29 de enero de 2017, se hizo pública una vulnerabilidad con código CVE-2017-5638, que 12.05.2017 CERTs nacionales difunden primeras alertas. permitiría a un atacante ejecutar órdenes remotas sobre Primera versión vacuna WannaCry Prevention. un servidor a través de un contenido subido al Investigación del modo de proceder del código dañino. componente de análisis JakartaMultipart. 13.05.2017 CCN desarrolla vacuna NoMoreCryv0.1. Más de El 16 de agosto de 2017 se hizo pública una nueva 50.000 descargas. vulnerabilidad CVE-2017-9805, que afecta a este 14.05.2017 se publica informe de código dañino (CCN-CERT software, que de la misma forma que la anterior ID 17/17 Ransom.WannaCry) Se actualiza NoMoreCrypara vulnerabilidad, permitiría a un atacante ejecutar WINDOWS XP / 2000. órdenes remotas sobre un servidor. 15/16.05.2015 Vigilancia y coordinación con organismos. Se Vulnerabilidad que afecta a millones de servidores web remiten +90 alertas de conexión a servidores. Se sigue conectados a Internet empleados por grandes empresas actualizando la herramienta. e instituciones en todo mundo. En España, 75 organismos afectados. 6 de ellos con impacto crítico.
4 equipos desplazados.
NotPetya (junio 2017) #OpCatalunya (oct. 2017)
Ataque a la cadena de suministro en Ucrania. Campaña contra AA.PP. y empresas #OpCataluya (4 fases).
Propagación desde sedes ucranianas. Más de 70 páginas web atacadas.
Destructivo, no ransomware. Ataques de DDoS.
Centro Criptológico Nacional SIN CLASIFICAR 70
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Imposible descifrar los ficheros, aunque se pague el Data Dumps (30 objetivos). “rescate” Uso de redes sociales e IRC para visibilidad y coordinación. Robo de credenciales. Sin impacto grave (caída breve del servicio web). ETERNALBLUE para propagación. Ataques: TCPFlood, UDPFlood, HTTP/S Flood, SlowLoris ¿Demostración de fuerza?
Centro de Operaciones de Seguridad (SOC) de la Administración General del Estado En 2017 se crea el Centro de Operaciones de Ciberseguridad (SOC) como instrumento de la Administración General del Estado (AGE) y sus organismos públicos vinculados o dependientes para la consolidación del Servicio Compartido de Seguridad Gestionada. Sus objetivos son: Prestación de servicios horizontales de ciberseguridad Centralizar servicios, eliminar duplicidades, conseguir un alto grado de especialización y reducir los costes individuales en todos los organismos adheridos. Aumentar la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas de información y telecomunicaciones de la Administración Mejorar su capacidad de respuesta ante cualquier ataque. La responsabilidad sobre el Centro de Operaciones de Ciberseguridad corresponde a la Secretaría General de Administración Digital (SGAD) y la operación correrá a cargo del CCN-CERT.
Centro Criptológico Nacional SIN CLASIFICAR 71
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
El SOC tiene por objeto proporcionar protección de manera centralizada mediante la dotación de una infraestructura global y única que incluye el equipamiento necesario, así como su configuración, puesta en marcha, mantenimiento, monitorización y gestión de incidentes de ciberseguridad. Servicio de Alerta Temprana (SAT). Detección, respuesta coordinada y soporte a la resolución de incidentes de seguridad. Soporte a la investigación de ciberataques y ciberamenazas. Operación, monitorización y actualización de dispositivos de defensa perimetrales: Cortafuegos de nueva generación (NGFW), Acceso remoto por Red Privada Virtual (VPN), Servicio anti SPAM, Cortafuegos de aplicaciones Web (WAF), Resolución segura de nombres de dominio (DNS), Sistema de base común de tiempos (NTP) y Gestión y correlación de eventos de seguridad (SIEM). Análisis de vulnerabilidades de aplicaciones y servicios. Servicios anti-abuso de identidad digital.
Centro Criptológico Nacional SIN CLASIFICAR 72
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
El cronograma previsto de actuaciones es el siguiente: o Fase1 (1º semestre 2018). . Determinación de tecnologías para los diferentes dispositivos del SOC. . Definición de los parámetros y niveles de servicio. o Fase1 (2ºsemestre). Inicio de la instalación del equipamiento. . Adquisición e instalación de la infraestructura técnica. . Implantación de servicios básicos de ciberseguridad. . Incorporación de primeras entidades. o Fase2 (durante 2019). Extensión del servicio. . Extensión del servicio a todo el ámbito de aplicación del Acuerdo del Consejo de Ministros (ACM) . Inclusión de nuevos servicios avanzados de ciberseguridad. o Fase3 (años posteriores a 2019). Mantenimiento y mejora del servicio.
Formación En el ámbito del Sector Público, el CCN ha continuado concienciando y formando a funcionarios y empleados públicos, a través de tres modalidades de curso: presencial (20 cursos publicados en el BOE y aquellos desarrollados “ad hoc” para algún organismo nacional o internacional), online (seis cursos disponibles en su portal web, con 1.295 horas lectivas) y, su novedad en 2017, formación a distancia, con la Plataforma Vanesa, con la que se ha conseguido llegar al personal de las Comunidades Autónomas y Entidades Locales a los que les costaba desplazarse a Madrid para los cursos presenciales. La nueva plataforma, con 13 sesiones, ha tenido una magnífica acogida, alcanzando en total a más de 1.200 personas (algunos de los cursos, como el de implantación de HTTPS o Actualizaciones de Seguridad en Windows tuvieron que repetirse ante el gran número de solicitudes recibidas). ● Cursos:
Centro Criptológico Nacional SIN CLASIFICAR 73
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
● Itinerarios formativos:
● Formación a distancia: Plataforma Vanesa:
Guías CCN-STIC e Informes: Esta labor de formación se ha completado con la difusión de diferentes informes y boletines de seguridad, mensuales y temáticos, entre los que destacan algunos de los informes de Buenas Prácticas (Principios y Recomendaciones Básicas de Seguridad o Recomendaciones de implementación de HTTPS), los de código dañino con Indicadores de Compromiso (IoC), de acuerdo a estándares reconocidos por la comunidad internacional o el Informe Anual de Ciberamenazas 2016 y Tendencias 2017, en el que se analiza en profundidad el panorama nacional e internacional de la ciberseguridad.
Centro Criptológico Nacional SIN CLASIFICAR 74
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Del mismo modo, este año, y en colaboración con la Federación Español de Municipios y Provincias (FEMP), el CCN elaboró dos Guías de Seguridad para facilitar la implantación del ENS en todas las Entidades Locales (incluyendo un tomo destinado a Ayuntamientos de menos de 2.000 habitantes).
Asimismo, se ha ampliado la serie de Guías CCN-STIC; un conjunto de normas, procedimientos y directrices técnicas necesarias para garantizar la seguridad de las tecnologías de la información en el ámbito de la Administración, que consta actualmente de 296 guías y 441 documentos. Durante 2017 se han generado o actualizado un total de 51 guías. De este conjunto destaca la serie CCN-STIC 800, que se ha elaborado conjuntamente entre el Ministerio de Hacienda y Función Pública y el CCN, y la nuevas Guías CCN-STIC 101, 105 y 106 relacionadas con el Catálogo de Productos STIC, CPSTIC. Este catálogo, de nueva creación, recoge los “Productos Aprobados” para el manejo de información clasificada y los “Productos Cualificados” para el manejo de información sensible, supervisados por el CCN, de forma que puedan servir de referencia para la Administración Pública.
En resumen, fondo editorial: 296 Guías CCN-STIC y 441 Informes y documentos especializados. 29 nuevas Guías y actualización de otras 22 30 Informes de Amenazas. 27 Informes de Código Dañino 57 Informes Técnicos 3 Documentos de Buenas Prácticas Guía del ENS para Entidades Locales (auspiciada por la FEMP)
Vulnerabilidades, Alertas y Avisos: 20 Alertas 19 Avisos o Entre ellos: Apache-Struts, Microsoft, NotPetya, WannaCry, Bluetooth, WPA2, #OPCatalunya.
Centro Criptológico Nacional SIN CLASIFICAR 75
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Herramientas de seguridad:
Detección – Sistemas de Alerta Temprana Para mejorar la capacidad de detección de incidentes e intrusiones, se ha continuado desarrollando el Sistema de Alerta Temprana (SAT) en sus dos vertientes: en la intranet administrativa (SAT SARA) en la que se ha actualizado la tecnología y se ha desarrollado un nuevo gestor de logs, y en la conexión a Internet de los organismos (SAT INET), con la novedad que ha supuesto la puesta en funcionamiento de la Sonda de la AGE (con 25 organismos saliendo a través de ella). Además, se ha desarrollado el SAT-ICS para Sistemas de Control Industrial destinado a sectores estratégicos como aguas, puertos, confederaciones hidrográficas y transporte. De igual forma, en el SAT INET se ha continuado ampliando el despliegue de sondas en las salidas de Internet de los organismos y empresas estratégicas, orientadas a la detección en tiempo real de las amenazas existentes en el tráfico que fluye entre sus redes internas e Internet. A finales de 2017, este servicio contaba con capacidad de detección en 161 organismos de las distintas administraciones públicas y organizaciones de interés estratégico, con un total de 165 sondas instaladas (teniendo en cuenta la mencionada Sonda de la AGE por la que salen 25 organismos). Durante este año se ha ampliado el servicio ofrecido por el SAT de Internet a las Comunidades Autónomas, Entidades Locales y Universidades, una vez completada la adhesión de la mayor parte de los organismos de la Administración Central.
Centro Criptológico Nacional SIN CLASIFICAR 76
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Notificación de ciberincidentes – Herramienta LUCIA
Centro Criptológico Nacional SIN CLASIFICAR 77
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Reyes 2.0
ATENEA
Portal CCN-CERT Toda la actividad recogida en estas páginas puede consultarse en el portal del CCN-CERT. Un website en la que están registrados cerca de 9.000 personas.
Centro Criptológico Nacional SIN CLASIFICAR 78
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
CSIRT.es Durante 2017, el CCN-CERT promovió el grupo de CSIRT/CERT, una plataforma independiente de confianza y sin ánimo de lucro compuesto por aquellos equipos de respuesta a incidentes de seguridad informáticos cuyo ámbito de actuación o comunidad de usuarios en la que opera, se encuentra dentro del territorio español. Proteger el ciberespacio español, intercambiando información sobre ciberseguridad y actuar de forma rápida y coordinada ante cualquier incidente que pueda afectar simultáneamente a distintas entidades en nuestro país, es el principal objetivo del Foro CSIRT.es
Andalucía CERT EULEN-CCSI-CERT Caixabank CSIRT Everis CERT CCN-CERT Guardia Civil CERTSI InnoTec, Entelgy-CSIRT CertUC3M MAPFRE-CCG-CERT CESICAT-CERT MNEMO-CERT CNPIC NestleSOC CSIRT.gal Policía Nacional CSIRT-CV PROSEGUR CERT CSIRT GLOBAL RedIRIS TELEFONICA RENFE CERT CSUC-CSIRT S2 Grupo CERT esCERT-UPC S21sec CERT ESP DEF CERT UCIBER - Mossos eSOC Ingenia d’Esquadra
8.6 La actividad europea
De la actividad legislativa de las Instituciones de la UE, en 2017 destacó la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la “Agencia de Ciberseguridad de la UE”, y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación (“Reglamento de Ciberseguridad – Cibersecurity Act”) Como se señala en el propio texto, la UE ha adoptado una serie de medidas para incrementar la resiliencia y mejorar su preparación en materia de ciberseguridad. Desde el establecimiento de la Estrategia de Ciberseguridad de la UE, se han producido acontecimientos importantes, en particular el segundo mandato de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) y la adopción de la Directiva NIS sobre seguridad de las redes y los sistemas de información, que constituyen la base de la propuesta citada.
Centro Criptológico Nacional SIN CLASIFICAR 79
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
En 2016 la Comisión Europea adoptó la Comunicación “Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora”. En ella anunciaron nuevas medidas para intensificar la cooperación, la información y la puesta en común de conocimientos y para incrementar la resiliencia y preparación de la UE, teniendo también en cuenta la perspectiva de incidentes a gran escala y una posible crisis paneuropea de ciberseguridad. En este contexto, la Comisión anunció que presentaría la evaluación y revisión del Reglamento (UE) n.º 526/2013 del Parlamento Europeo y del Consejo relativo a ENISA y por el que se deroga el Reglamento (CE) n.º 460/2004. El proceso de evaluación podría conducir a una posible reforma de la Agencia y a un reforzamiento de sus facultades y capacidades para apoyar a los Estados miembros de manera sostenible. Le conferiría, por tanto, un papel más operativo y central para lograr la resiliencia en materia de ciberseguridad y reconocería en su nuevo mandato las nuevas responsabilidades de la Agencia en virtud de la Directiva NIS. La propuesta de Reglamento establece un conjunto de medidas que se basan en actuaciones anteriores y fomentan objetivos específicos que se refuerzan mutuamente: Aumentar las capacidades y la preparación de los Estados miembros y de las empresas Mejorar la cooperación y la coordinación entre los Estados miembros y las instituciones, órganos y organismos de la UE Aumentar las capacidades a nivel de la UE para complementar la acción de los Estados miembros, en particular en caso de cibercrisis transfronteriza Aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones relacionadas con la ciberseguridad Aumentar en general la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC, a fin de reforzar la confianza en el mercado único digital y en la innovación digital Evitar la fragmentación de los sistemas de certificación en la UE y de los requisitos de seguridad y criterios de evaluación conexos en los distintos Estados miembros y sectores.
Al objeto de establecer y preservar la confianza y la seguridad, la UE considera que es preciso que los productos y servicios de TIC incorporen directamente las características de seguridad en las etapas iniciales de su diseño y desarrollo técnicos (seguridad a través del diseño). Por otra parte, los clientes y usuarios necesitan poder comprobar el nivel de garantía de la seguridad de los productos y servicios que compran o adquieren.
Centro Criptológico Nacional SIN CLASIFICAR 80
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
La certificación (consistente en la evaluación formal de los productos, servicios y procesos por un organismo independiente y acreditado en función de un conjunto de criterios claramente definidos y la expedición de un certificado que atestigüe la conformidad) desempeña un papel importante a la hora de aumentar la confianza y la seguridad en los productos y servicios. Mientras que la evaluación de la seguridad tiene un carácter bastante técnico, la certificación cumple el objetivo de informar y tranquilizar a los compradores y usuarios sobre las propiedades de seguridad de los productos y servicios de TIC que compran o utilizan. Como ya se ha dicho, para las Instituciones de la UE esto reviste especial importancia en el caso de los nuevos sistemas que hacen amplio uso de las tecnologías digitales y que requieren un alto nivel de seguridad, como los automóviles conectados y automatizados, la sanidad electrónica, los sistemas de control de la automatización industrial las redes inteligentes.
9. TENDENCIAS
Teniendo en cuenta la evolución de los ciberincidentes en el periodo considerado, es de esperar que los futuros ciberataques incrementen su grado de sofisticación, de virulencia y de osadía. Los siguientes son algunos ejemplos que desarrollan sumariamente las tendencias de un inmediato futuro: Ataques por Denegación de Servicio (DoS-DDoS): A la vista de lo ocurrido en 2017 y los primeros meses de 2018, todo apunta al aumento de este tipo de ataques, con algunas variantes: Denegación de Servicio Permanente (PDoS) para las operaciones de Centros de Datos y dispositivos IoT, mayor importancia y sofisticación de los ataques DoS de telefonía (TDoS) y el aumento de segmentación (e incluso personales) de los ataques de denegación de servicio combinados con ciber-rescate (Ransom-DoS), y con los sistemas de sanitarios como posibles objetivo214. Exploits-kits: A pesar de incluir complejos mecanismos de filtrado para ocultar las actividades dañinas, los agentes de las amenazas que usan exploits-kits descubrieron que escalar sus ataques puede presentar muchos riesgos de detección para las cargas desplegadas. Esto podría justificar la disminución de la tendencia a exploits-kits; que no obstante
214 Los ataques WannaCry y Petya de 2017 representaron claros ejemplos de la combinación de ataques DoS y Ransomware.
Centro Criptológico Nacional SIN CLASIFICAR 81
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
seguirán siendo usados en aquellas regiones geográficas donde no puedan ser monitoreados por los investigadores215. Por otro lado, los exploits-kits darán paso a “kits humanos”. Teniendo en cuenta que en los últimos años ha venido disminuyendo el número total de vulnerabilidades atacables, los agentes de las amenazas cambiarán su modelo comercial -e, implícitamente, su arsenal- para lograr sus objetivos atacando las debilidades humanas. Ciberespionaje: Durante el próximo período, los expertos esperan un crecimiento en el ciberespionaje debido a desencadenantes geopolíticos o sanciones económicas, pero también, debido a los objetivos estratégicos de las naciones. Los agentes de las amenazas, desde el crimen organizado hasta los Estados-nación, están creando nuevas técnicas y herramientas para intentar robar la propiedad intelectual y los secretos de sus objetivos. Estos adversarios seguirán usando APTs. Ransomware: Tras la distribución masiva de código dañino, incluso a través de dispositivos móviles, el próximo futuro será testigo del incremento de ataques dirigidos contra objetivos concretos, por ejemplo, contra dispositivos sanitarios tales como marcapasos. Como se ha dicho: "En lugar de solicitar el pago de un rescate para recuperar sus datos, será un rescate para salvar su vida"216. Además de ello, TrendMicro ha vaticinado que los atacantes "ejecutarán campañas de extorsión digital y usarán ransomware para amenazar a las organizaciones que no cumplen con RGPD". Incremento de las brechas de seguridad: Los casos de brechas de datos de las compañías Uber y Equifax en 2017 no serán casos aislados. Muchos analistas217 coinciden en señalar que en los próximos meses se producirán significativas brechas de seguridad que podrán afectar, al menos, a 100 millones de cuentas. Una amenaza que según Imperva se extenderá a la filtración masiva de datos en la nube. Por su parte, la empresa eSentire ha señalado que "los ciberataques de espionaje y de motivación política seguirán aumentando”. También se advierten de que “existe el
215 Véase: https://www.proofpoint.com/us/threat-insight/post/cybersecurity-predictions-2017
216 Véase: https://www.infosecurity-magazine.com/news-features/cybersecurity-predictions-2018-one/
217 Entre ellos, Tyler Moffitt, de Webroot.
Centro Criptológico Nacional SIN CLASIFICAR 82
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
riesgo potencial de pérdida de vidas humanas como resultado de ciberataques selectivos, especialmente en el sector de la salud ". El Reglamento General de Protección de Datos: Desde Digital Pathways se ha señalado que la escasez de personal afectará la adopción del RGPD: "muy especialmente debido a la exigencia del Delegado de Protección de Datos", añadiendo que “solo el 10% de las compañías estarán listas para abordar el RGPD”, por lo que no sería de extrañar que, a finales de 2018, seamos testigos de los cierres de las primeras compañías debido a las significativas sanciones derivadas del incumplimiento del RGPD.” La adopción de la biometría: La adopción de tecnología biométrica ha aumentado significativamente en los últimos años, muy especialmente de la mano de la autenticación mediante huellas dactilares y, más recientemente, el reconocimiento facial en los dispositivos móviles. Sobre este particular, el Instituto SANS ha recordado que: "Un gran número de consumidores utiliza de forma rutinaria la autenticación biométrica en sus teléfonos móviles y el 28% de los mismos usa autenticación de dos factores en al menos una cuenta personal". La empresa Webroot cree que habrá un crecimiento continuo en los servicios biométricos y, como resultado, los accesos a dispositivos basándose en nombres de usuario y contraseñas se convertirán poco a poco en una segunda opción. Esta misma empresa señala que en los próximos meses veremos los primeros exploits dirigidos al acceso biométrico sustentado en reconocimiento facial o mediante huellas dactilares. Inteligencia Artificial y Aprendizaje Automático: Parece claro que las inversiones en tecnología analítica serán mayores a medida que las empresas encuentren nuevas formas de dar sentido a la gran cantidad de datos generados por dispositivos inteligentes. FireEye cree que la industria de la seguridad comenzará a utilizar más automatización, aprendizaje automático e inteligencia artificial para combatir los ciberataques, provocado fundamentalmente por la carencia de personal especializado. Por su parte, la empresa SolarWinds ha vaticinado que la integración de la inteligencia artificial y las capacidades de aprendizaje automático se percibida como crítica para el éxito empresarial en los próximos años y aunque preparada para ofrecer posibilidades de avance a los líderes empresariales, la inteligencia artificial también aporta una generalizada incertidumbre con respeto al impacto en el trabajo.
Centro Criptológico Nacional SIN CLASIFICAR 83
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
Más amenazas móviles: La empresa Webroot profetiza que, en los próximos meses, veremos la primera gran infección de malware en la App Store de Android. Otras empresas sostienen, por su parte, que 2108 o 2019 será testigo del primer ransomware móvil diseminado, probablemente, a través de SMS/MMS. La regulación de IoT: Internet of Things (IoT) podría ser el sector más afectado por las brechas Meltdown y Spectre, aun cuando muchos especialistas coinciden en que la legislación será el mayor cambio. La empresa Webroot, ha señalado: "La legislación requerirá que los fabricantes de IoT sean responsables de producir productos sin defectos conocidos". Por otro lado, no es de extrañar que sucesos como los ocurridos con la botnet Mirai se repitan, abarcando en esta ocasión tanto a consumidores como a las empresas, pero esta vez con, presumiblemente, poca capacidad de respuesta. Todo eso, al margen de que la creciente utilización comercial de los dispositivos IoT significará que el interés por controlar este tipo de sistemas aumentará para los atacantes, como se señala desde Palo Alto Networks. La delincuencia se vuelve más sofisticada: El avance de las habilidades de los ciberdelincuentes se ha venido vaticinando año tras año lo que -prescindiendo por un momento de la naturaleza poco sofisticada de WannaCry-, se ha evidenciado como cierto. Según ZeroFox: "La inteligencia artificial propiciará ciberataques más sofisticados y convertirá en obsoletos los métodos básicos de protección". Por su parte, la entidad Lastline señaló que en los próximos años podemos esperar un significativo aumento de la sofisticación entre los ciberdelincuentes, que aprovecharán los kits de hacking basados en AI y ML a partir de herramientas que los delincuentes filtraron o sustrajeron de agencias de inteligencia patrocinadas por estados. RiskIQ parece tener la misma opinión cuando señala: "Los actores de las amenazas aumentarán el uso del aprendizaje automático para evadir la detección". Ataques contra redes sociales: Es presumible que los próximos meses se desarrollen formas más asequibles para los atacantes gracias a las redes sociales. Así lo ha afirmado Airbus CyberSecurity, señalando que las redes sociales se pueden utilizar para sofisticadas actividades de ingeniería social y reconocimiento que forman la base de muchos ataques a las organizaciones. "Para protegerse contra los ataques a las redes sociales, las organizaciones deben implementar políticas de seguridad de redes sociales para toda la organización,
Centro Criptológico Nacional SIN CLASIFICAR 84
SIN CLASIFICAR CCN-CERT IA 09/18 Ciberamenazas y Tendencias. Edición 2018
lo que incluye el diseño de programas de formación para los empleados sobre el uso de las redes sociales y la creación de planes de respuesta a incidentes que coordinen las actividades de los departamentos legal, de recursos humanos, marketing y TI en caso de una violación de seguridad ", añade. Código dañino sin archivos: Lastline ha afirmado que “a medida que se desarrolle una mayor cantidad de código dañino dirigido al firmware y a la memoria hardware de los dispositivos, podemos esperar un mayor incremento de tales acciones”. En términos de detección, Digital Pathways ha señalado que los "ataques sin archivos" se tomarán más en serio y serán una amenaza tan grande como los troyanos. "Este tipo de código dañino reside en la memoria de la PC y permanece allí hasta que se reinicia. Un antivirus normal no detectará estos ataques". Por su parte, Palo Alto Networks agregó que, con la creciente popularidad de las criptomonedas, es presumible esperar más código dañino enfocado en el robo de información de las cuentas para vaciar los correspondientes wallets. El mayor uso de los Proveedores de Servicios Gestionados de Seguridad: La entidad Resolve señaló que buena parte de las medidas de seguridad vendrán dadas por los Proveedores de Servicios Gestionados de Seguridad (MSSP). Estos serán objeto de un mayor interés por parte de las organizaciones que reconocen que el nivel de esfuerzo y la experiencia interna requerida para un SOC con garantías de éxito está más allá de sus posibilidades. "Los MSSP inteligentes, aquellos que cuentan con el personal y las herramientas adecuados para generar confianza entre los usuarios, que demuestren la capacidad de cumplir con los requisitos básicos de la empresa y las respuestas más avanzadas a las violaciones de seguridad atraerán la mayor atención".
Centro Criptológico Nacional SIN CLASIFICAR 85
General Data Protection Regulation : bona notícia per a la ciberseguretat
RGPD: bona notícia per a la ciberseguretat Article d’opinió | Juny del 2018 Índex
RGPD, ja és una realitat 3 L’autèntic valor de les dades personals 4 Les dades personals, a l’epicentre de la seguretat 5 Estructura de negoci i nou entorn ciberprofessional 6 El RGPD com a palanca de canvi global 8 Un nou marc europeu per a la ciberseguretat 9 ... Tots a la una? 10 Conclusions 11 Glossari i referències 12
Article d’opinió Juny del 2018 RGPD: bona notícia per a la ciberseguretat
RGPD, ja és una realitat
El 25 de maig del 2018 va entrar en vigor el nou Reglament General de Protecció de Dades (també anomenat RGPD, o GDPR segons les sigles en anglès). Es tracta d’un reglament d’obligat compliment tant per a les empreses i entitats ubicades als països membres de la Unió Europea com per a empreses de fora que tinguin activitats relacionades amb les dades personals de residents a la UE. El RGPD és d’aplicació directa i, a Espanya, substitueix l’anterior Ley Orgánica de Protección de Datos (LOPD)1.
La principal novetat del RGPD respecte a la LOPD rau en l’assigna- ció de la responsabilitat en la selecció de les mesures de seguretat per a la protecció de les dades personals. La LOPD va prefixar els controls i va determinar la necessitat de supervisar-ne l’aplicació amb auditories. En canvi, el RGPD transfereix la responsabili- tat a qui realitza el tractament de les dades personals, que ha de decidir proactivament els controls a aplicar en base a un model de gestió de riscos, de manera que les Agències de Protecció de Dades competents intervenen ex post arran d’una denúncia o d’un incident per avaluar si el responsa- ble ha incomplert. Atès que aquesta és la pràctica que s’utilitza habitualment en la gestió de la seguretat de la informació i el risc corporatiu, es pot discernir que aquest nou context és motiu de satisfacció per al sector de la ciberseguretat.
En aquest article, més enllà de les obligacions llargament comen- tades arreu, volem destacar la rellevància d’aquest RGPD des de la perspectiva de la ciberseguretat, un àmbit que esdevé d’una importància cabdal.
Article d’opinió Juny del 2018 3 RGPD: bona notícia per a la ciberseguretat
L’autèntic valor de les dades personals La informació, en un sentit genèric, pot ser font d’oportunitats de negoci i posicionaments estratègicament avantatjosos.
Pel que fa a les dades personals dels usuaris, en alinea la protecció de la privacitat amb els molts casos ja fa temps que han adquirit un enor- objectius empresarials i insta a utilitzar les me valor econòmic. Una clara prova d’aquest fet mateixes eines que fa servir la cibersegu- és que les empreses amb un model de negoci retat per a la protecció d’actius de valor: basat en el tractament de dades personals (Go- una organització apropiada, uns processos, l’ús ogle, Facebook, Amazon, Twitter...) tenen entre d’anàlisis de riscos i la presa de decisions de les mans un dels comerços més lucratius del mesures adequades a cada context. món: el tractament i l’explotació d’aques- tes dades per vendre els seus serveis o pro- En el moment d’implantar la LOPD es va creure ductes, o els de tercers. Una altra evidència la convenient establir uns controls prefi xats per tal podem trobar a la dark web, on es constata com de facilitar la seva implantació. En canvi, amb la ciberdelinqüència posa preu a les dades el nou Reglament, passem a un model on les personals en funció de la seva tipologia2. En dades personals estan integrades en els proces- aquest context, on les dades personals tenen sos de negoci, on la seguretat i la cibersegu- valor de negoci, ja és habitual utilitzar mesures retat destaquen per la seva capacitat d’anàlisi de ciberseguretat per protegir-se. del risc i la defi nició de mesures adequades. En aquesta línia, des del sector de la cibersegure- El RGPD suposa un canvi substancial, ja que tat només podem veure amb bons ulls el RGPD converteix la privacitat en un valor que cal pro- perquè, allà on fi ns ara hi havia llistats pre- tegir per la seva vinculació amb els drets fona- confi gurats de controls de compliment, ara mentals de les persones i amb el seu espai de s’estableix un entorn amb eines i controls llibertat, seguretat i justícia. Per tant, el RGPD pertinents, en el qual ens sentim identifi cats. A més, el RGPD aporta una continuïtat en la de- fensa de tot tipus de dades personals, ja que es- El RGPD (...) converteix la privacitat en un valor que cal protegir per la seva vinculació amb els drets tableix un mateix context de ciberseguretat per a fonamentals de les persones i amb el seu espai de llibertat, seguretat i justícia. la protecció de les dades personals, tant pel seu valor de negoci com per la seva privacitat.
Article d’opinió Juny del 2018 4 RGPD: bona notícia per a la ciberseguretat
Les dades personals, a l’epicentre de la seguretat La sensibilitat de les dades personals deixa de ser l’únic criteri per determinar les mesures de la protecció a aplicar.
El RGPD obliga les administracions i les empreses afectades a prendre les mesures Ja no es tracta només de complir amb unes necessàries, la qual cosa implica una acti- mesures concretes, ara, a més, cal analitzar tud proactiva en relació amb la cibersegu- quines mesures s’han d’aplicar per garantir la retat. Ja no es tracta només de complir amb seguretat de les dades personals. unes mesures concretes, ara, a més, cal analit- zar quines mesures s’han d’aplicar per garantir la seguretat de les dades personals. El Regulador, conscient de la difi cultat i comple- El nou model s’orienta a l’avaluació de riscos, xitat de mantenir un historial de la traçabilitat de s’ha d’avaluar el risc i establir diferents nivells de totes les dades personals, estableix un model criticitat. Un cop s’ha fet una valoració prèvia, en el qual, fent ús del dret d’accés establert pel tractament de risc alt s’estableix l’obligació en el RGPD, hom podria conèixer la font de realitzar les anàlisis de riscos (anomenades directa de la qual procedeixen les dades Avaluació de l’Impacte en la Protecció de Da- personals pròpies, una informació que tota des, o PIA en anglès), sobre els tractaments empresa està obligada a facilitar. En utilitzar de les dades. Els resultats seran utilitzats per aquest dret d’accés de manera recurrent, hi ha determinar les mesures necessàries a l’hora de la capacitat d’obtenir la traçabilitat completa de protegir la confi dencialitat, la disponibilitat i la les dades personals des de l’inici. integritat de les dades personals.
I la traçabilitat? El RGPD garanteix el coneixe- ment de l’origen i el camí que han recorregut les dades personals?
Article d’opinió Juny del 2018 5 RGPD: bona notícia per a la ciberseguretat
Estructura de negoci i nou entorn ciberprofessional Com més exposades al risc estiguin les dades personals, més protecció requeriran i més necessària serà una estructura específica que garanteixi una protecció apropiada.
El RGPD pren la iniciativa i obliga les em- només els organismes públics, les empreses preses a adoptar estructures i operatives de que basin la seva activitat en el tractament negoci en relació amb les dades personals. de dades personals i que requereixin un se- Possiblement impactarà internament a les or- guiment regular i sistemàtic de les persones, ganitzacions i suposarà un incentiu per a la creació d’un ecosistema de professionals al seu voltant amb, obligatòriament, coneixe- El RGPD pren la iniciativa i obliga les ments de ciberseguretat. empreses a adoptar estructures i operatives de negoci en relació amb les dades personals. Amb el nou Reglament apareix la figura del Delegat de Protecció de Dades (en an- glès DPO) per garantir la seguretat de les o bé en el tractament a gran escala de ca- dades personals a l’organització, conver- tegories sensibles de dades. Ara bé, amb la tint-la en un element més dels processos de proliferació de dades personals i el big data, negoci. Atesa la importància de la seva tasca, a mitjà i llarg termini, pot ser que la figura l’empresa haurà de dotar el DPO dels mitjans del DPO esdevingui un recurs necessari per a necessaris perquè la pugui desenvolupar cor- moltes organitzacions. rectament i s’haurà de preocupar de la seva formació. Cal dir que no totes les organitzaci- El Reglament introdueix la possibilitat de ons hauran de tenir un DPO obligatòriament: contractar la figura del DPO a un tercer amb les capacitats adequades. En aquest cas, la independència del servei, les condi- Hauran de tenir un DPO obligatòriament: només els organismes públics, les empreses que basin la cions de rescissió del contracte i l’abast de seva activitat en el tractament de dades personals i que requereixin un seguiment regular i sistemàtic les responsabilitats legals de cada part han de les persones, o bé en el tractament a gran escala de categories sensibles de dades. d’estar perfectament definides.
Article d’opinió Juny del 2018 6 RGPD: bona notícia per a la ciberseguretat
Però això va més enllà, ja que, malgrat que El que és segur és que, per tal d’assegurar tot no quedi establert de manera explícita en el l’espectre de necessitats que estableix el RGPD, RGPD, resulta obvi que el DPO necessitarà es preveu una necessitat de perfi ls ambivalents, professionals de suport. D’una banda, per- amb aptituds tant tècniques com legals. fils tècnics de diverses disciplines especia- listes en noves tecnologies i ciberseguretat, Dins les organitzacions també es requeri- els quals es responsabilitzin dels aspectes rà una operativa efi cient per poder dotar de tècnics de les mesures de seguretat per a resposta, en menys d’un mes, a les peticions cada context. D’altra banda, també seran de drets ARCO (Accés, Rectifi cació, Cancel·la- necessaris professionals de l’àmbit legal ció i Oposició). Drets que el RGPD amplia, afe- per, entre altres tasques, assegurar el com- gint-hi els de la limitació de tractament, la porta- pliment amb relació als formularis de recolli- bilitat i la supressió (oblit). S’ha de destacar que da de consentiment, verificar els contractes la portabilitat ens permetrà transferir les nostres que regularitzin les transferències de dades dades entre organitzacions i, atesa l’obligació entre responsables i encarregats, o gestio- de preservar els drets dels afectats, s’estableix nar les comunicacions als afectats davant un control similar al que es realitza en una trans- de qualsevol canvi en les finalitats dels trac- ferència bancària. Relacionat amb el concepte taments. anterior, tal i com passa amb les transaccions monetàries o de valors, els tractaments amb També és previsible que, a causa de l’ele- dades personals també hauran de quedar vada quantia de les sancions, s’incrementi registrats i les organitzacions necessitaran el nombre d’asseguradores que ofereixin co- de l’operativa per notifi car degudament, a bertura de responsabilitat civil o de ciberse- les autoritats i als afectats, els incidents guretat al RGPD. amb dades personals.
Les autoritats competents en matèria Cal estar alerta perquè no només amb la de protecció de dades realitzaran implantació de l’estructura i l’operativa del inspeccions per comprovar que tot tractament de dades personals n’hi ha prou. s’hagi fet correctament. Les autoritats competents en matèria de pro- tecció de dades realitzaran inspeccions per comprovar que tot s’hagi fet correctament.
Article d’opinió Juny del 2018 7 RGPD: bona notícia per a la ciberseguretat
El RGPD com a palanca de canvi global Tothom sap que els intercanvis econòmics i de béns entre els països del món estan subjectes a reglamentació i necessiten l’empara de tractats inter- nacionals que els regulin. El que potser no és tan conegut és que aquest fet no és diferent en el cas de les dades personals.
La situació és clara: les dades personals pecífics on la Comissió Europea hagi re- dels ciutadans europeus només podran conegut que s’ofereix un nivell adequat de ser tractades fora de l’espai econòmic protecció. europeu a països, territoris o sectors es- Per tant, totes aquelles empreses de fora la UE que ofereixin productes a ciutadans europeus o en monitoritzin la conducta hauran, d’entra- da, de complir amb el RGPD i, addicionalment, nomenar un representant a la UE. Això reque- reix un canvi global de la concepció respecte al tractament de dades. En conseqüència, les empreses que s’adaptin a aquest nou regla- ment europeu, més restrictiu i exigent, poste- riorment ho tindran més fàcil per gestionar el conjunt de dades personals dels seus usuaris d’una manera més curosa, encara que en els països d’origen aquesta operativa no sigui obli- gatòria per imperatiu legal.
El que caldrà veure és si la fortalesa del mercat i de l’economia europea seran suficients per in- centivar un canvi de concepció en relació a les dades personals a la resta del planeta.
Article d’opinió Juny del 2018 8 RGPD: bona notícia per a la ciberseguretat
Un nou marc europeu per a la ciberseguretat Coincidint amb l’aplicació del RGPD, aquest mes de maig comença a ser vigent una normativa complementària: la Directiva on Security of Network and Information Systems (NIS), que obliga els estats membres de la Unió Europea a crear un marc legal en mesures de se- guretat a les xarxes de comunicacions i sistemes d’informació.
sobretot en la continuïtat del negoci o operativa, estimulant la cooperació entre els països de la UE. A més, també incentiva els Estats a adaptar la seva legislació en matèria de ciberseguretat i cre- ar, a cada país, els denominats CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team), com a centres de referència per a la resposta crítica davant d’in- cidents de ciberseguretat.
La Directiva NIS s’aplica a aquelles empreses que ofereixen serveis essencials, com poden ser el sector energètic, els serveis sanitaris...
El RGPD i la Directiva NIS tenen el mateix ob- La Directiva NIS s’aplica a aquelles empreses jectiu: posar en valor la informació, enfortir la que ofereixen serveis essencials, com poden ser Societat de la Informació, reforçar la seguretat el sector energètic, els serveis sanitaris, el trans- i contribuir a homogeneïtzar-la en el marc de port, la banca, el subministrament, etc., i a prove- la UE. I, quin és el darrer objectiu de tots ïdors de serveis digitals, com buscadors, mercats aquests esforços? Incrementar la confi an- en línia, entre d’altres. Estableix uns estàndards ça d’usuaris i d’empreses en l’ús de les no- comuns en matèria de ciberseguretat, orientats ves tecnologies.
Article d’opinió Juny del 2018 9 RGPD: bona notícia per a la ciberseguretat
... Tots a la una? L’adaptació al nou RGPD no serà un procés fàcil.
Per començar, el fet que obligui a prendre, de forma proactiva, les mesures necessàries El 51% de les empreses no coneix o no per protegir de forma eficient les dades perso- està familiaritzat amb el RGPD. nals en comptes de complir amb uns controls prefixats genera incertesa a l’hora de sa- ber si les mesures preses són correctes. A Espanya, segons una enquesta de l’em- La manca de professionals amb experiència, presa SAGE, el 51% de les empreses no co- tant per realitzar les implementacions com per neix o no està familiaritzat amb el RGPD3. Una exercir de DPO, també dificulta l’adaptació al dada realment preocupant tenint en compte, nou RGPD. a més a més, que no es preveu cap toleràn- cia amb les sancions imposades a les empre- ses per l’incompliment del nou Reglament. En concret, les quantitats poden arribar al 4% de la facturació anual de les empreses o fins als 20 milions d’euros.
És rellevant que, malgrat que les sancions són les mateixes en tots els països de la UE, l’es- tat actual d’adequació al RGPD és exagerada- ment desigual. Així doncs, tant pot ser que ens esperi un escenari on l’exigència serà desigual entre els Estats, com que hi hagi països on les organitzacions quedaran molt impactades per les sancions econòmiques. Si l’exigència és desigual, una vegada més... parlarem d’una Europa amb una ciberseguretat de dife- rents velocitats?
Article d’opinió Juny del 2018 10 RGPD: bona notícia per a la ciberseguretat
Conclusions
La funció de la ciberseguretat ja no només serveix per protegir les dades personals quan possibilitin la generació de negoci. El RGPD dóna un alt valor a la privacitat i, per tant, estén la implantació dels mecanismes de ciberseguretat per a la protecció de les dades personals.
Les regulacions en matèria de dades personals que fi- xen mesures de compliment basades en llistats de con- El nou RGPD insta les organitzacions a trols prefixats han passat a la història, i el nou RGPD dotar-se de mesures tècniques, estructura i insta les organitzacions a dotar-se de mesures tècni- operatives per garantir un nivell de ciberse- ques, estructura i operatives per garantir un nivell de guretat adequat. ciberseguretat adequat. Sens dubte, des del sector de la ciberseguretat, aquest fet es considera molt positiu.
Però, no només el RGPD reforça la responsabilitat i el protagonisme de la ciberseguretat. La Directiva NIS, des d’un règim complementari, confirma el paper clau de la ciberseguretat en el desplegament de la societat digital. Es tracta, doncs, d’un canvi de paradigma social, legal i tecnològic en el qual el RGPD és part d’una tendència en les darreres normatives que situen la ciberseguretat com un element transversal, en aquest cas, centrat en la protecció de les dades personals.
Article d’opinió Juny del 2018 11 RGPD: bona notícia per a la ciberseguretat
Glossari i referències
Avaluació d’Impacte en la Protecció de Dades (AIPD) Dret d’Accés: permet conèixer i obtenir gratuïtament comú i lectura mecànica, a l’interessat o directament / en. Privacy Impact Assessment (PIA): anàlisi de ris- informació sobre les pròpies dades personals sotme- a un responsable de tractament. cos sobre el tractament de les dades que derivarà en ses a tractament. En el RGPD s’insta a poder exer- Encarregat: persona, organisme o servei que tracta plans d’acció i en l’aplicació de mesures tècniques i cir-lo en qualsevol moment. les dades personals en nom del responsable de trac- organitzatives. Dret de Rectifi cació: permet corregir errors i modifi - tament. Confi dencialitat: qualitat de la informació perquè car les pròpies dades personals que siguin inexactes Integritat: qualitat de la informació per ser correcta i no s’accedeixi o es divulgui al personal o sistemes no o incompletes. no haver estat modifi cada, mantenint les seves dades autoritzats. Dret de Cancel·lació: permet que se suprimeixin les exactament tal com van ser generades, sense mani- Delegat de Protecció de Dades (DPD) / en. Data Pro- dades personals que siguin inadequades o excessi- pulacions ni alteracions per part de tercers. tection Offi cer (DPO): càrrec responsable i assessor ves. Responsable: persona, organisme o servei que deter- en matèria de protecció de dades. Dret d’Oposició: permet que se cessi o no es porti a mina les fi nalitats i els mitjans del tractament. Disponibilitat: qualitat d’un actiu d’informació per la terme el tractament de les pròpies dades personals. Traçabilitat: qualitat de la informació que garanteix la qual es garanteix plenament l’ús de les seves funci- Dret a Supressió (Oblit): el dret a l’esborrat complet possibilitat de conèixer-ne l’origen, l’ús, el recorregut ons en el moment que siguin requerides. de les dades personals. i la localització. Dret de Limitació de Tractament: permet que cessi Tractament: operació o procediment tècnic, automa- algun tractament determinat sobre les pròpies dades titzat o no, que permeti la recollida, gravació, con- personals durant un temps determinat. servació, elaboració, modifi cació, consulta, cessió, Dret de Portabilitat: permet la transmissió de les prò- transferència, utilització, modifi cació, cancel·lació, pies dades personals, en un format estructurat, d’ús bloqueig o supressió d’informació.
Notes a peu. 1 https://www.boe.es/doue/2016/119/L00001-00088.pdf 2 http://www.ticbeat.com/salud/cuanto-valen-nuestros-datos-sanitarios-en-el-mercado-negro/ 3 https://www.sage.com/es-es/blog/rgpd-encuesta-datos-espana-vs-resto-europa/
Article d’opinió Juny del 2018 12 El contingut d’aquesta guia és titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:
Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya. Llicenciada sota la llicència CC BY-NC-ND. Aquesta guia es publica sense cap garantia específi ca sobre el contingut.
Aquesta llicència té les particularitats següents: Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra.
Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especifi cada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dóna suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a fi nalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca
Document classifi cat com a ús públic.
Informe sobre tendències en ciberseguretat elaborat pel CESICAT (any 2017)
Informe de Tendències de Ciberseguretat 2017
Tendències de Seguretat 2015 – CESICAT | 1
El contingut d’aquesta guia és titularitat de la Fundació Centre de Llicència Creative Commons: Seguretat de la Informació de Catalunya i resta subjecta a la llicència Reconeixement-NoComercial-SenseObraDerivada 4.0 de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent: Sou lliure de copiar, distribuir i comunicar públicament l’obra, amb les següents
condicions: Generalitat de Catalunya Reconeixement. S’ha de reconèixer l’autoria de l’obra de la manera Autoria: Centre de Seguretat de la Informació de Catalunya especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dóna suport a la seva obra). No comercial. No es pot emprar aquesta obra per a finalitats comercials o promocionals. Sense obres derivades. No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Quan reutilitzeu o distribuïu l’obra, heu de deixar ben clar els termes de la llicència de l’obra. Qualsevol de les condicions d’aquesta llicència podrà ser modificada si disposeu de permisos del titular dels drets. Podeu trobar el text legal de la llicència a: https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca
Tendències de Seguretat 2015 – CESICAT | 2
Índex
INTRODUCCIÓ ...... 5
VISIÓ GENERAL ...... 7
HA ESTAT NOTÍCIA ...... 11
EVOLUCIÓ DE LES AMENACES ...... 13
TENDÈNCIES ...... 15
ROBATORI DE CREDENCIALS ...... 15 ROBATORI D’INFORMACIÓ ...... 17 ENGINYERIA SOCIAL ...... 18 CIBERESPIONATGE I HACKTIVISME ...... 20 CRIPTOMONEDES ...... 22 INTERNET DE LES COSES, IOT ...... 24 CIBERASSETJAMENT I EXTORSIÓ ...... 27 MOBILITAT ...... 29 DDOS ...... 31
Tendències de Seguretat 2017 – CESICAT | 3
INTRODUCCIÓ
El present document és fruit del seguiment i de l'anàlisi de les tendències en relació amb amenaces de ciberseguretat detectades durant l'any 2017 pel CESICAT.
Per a la realització d'aquest informe s'ha tingut en compte l’experiència pròpia del CESICAT i de les seves àrees, així com s’han consultat informes de referència i fonts qualificades de múltiples entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional.
La informació de l’informe està contrastada amb diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat
Tendències de Seguretat 2017 – CESICAT | 5
Tendències de Seguretat 2017 – CESICAT | 6
VISIÓ GENERAL
El 2017, des del punt de vista de la ciberseguretat, ens ha deixat un seguit d’esdeveniments que permeten identificar les tendències més destacables. Per una banda, veiem com la ciberdelinqüència cada vegada està més ben organitzada. Per una altra, tenim un espai a l’entorn d’Internet que no avança prou ràpid en la mitigació de les amenaces, al mateix temps que es fa evident l’augment constant dels dispositius connectats.
Els cibercriminals, avui en dia, disposen d’estructures empresarials1 El malware o badware és que treballen en l'economia submergida, actuen utilitzant els millors un tipus de programari que models de gestió empresarials a l'hora de crear, expandir les seves té l’objectiu d’infiltrar-se o operacions i obtenir la major rendibilitat financera possible. Aquestes danyar un equip o sistema informàtic sense el empreses de cibercrim, tenen els seus empleats, els seus horaris, consentiment del propietari. directius amb diferents nivells de responsabilitat, etc. En funció de l’efecte que causi sobre l’equip es Segons Symantec, durant el 2017 i a nivell global, el cibercrim va classifiquen en: virus, cucs, obtenir una gens menyspreable quantitat propera als 172.000 milions troians, rootkits, scareware, d’euros.2 Comparativament, aquesta quantitat és un 56% superior als spyware, adware, ingressos de Google (110.000 milions d’euros) o, fins i tot, sorprèn crimeware, etc. identificar que arriba a un 74% del PIB de Catalunya (234.000 milions d’euros).
"Funcionen pràcticament com una empresa tradicional. Tenen problemes amb el flux de caixa, volen obtenir guanys, requereixen inversió, desenvolupen productes, necessiten promocionar-se, tenen un departament d'atenció al client i probablement un altre de recursos humans" segons Santorelli de Symantec.
La professionalització de les organitzacions dedicades al cibercrim i el que s'ha denominat ciberespionatge marcarà la pauta de la ciberseguretat en els propers anys
No obstant això, les mesures de seguretat per mitigar l’amenaça que tot això representa no van a la mateixa velocitat. Ens trobem en una
1 http://www.bbc.com/mundo/noticias/2013/12/131127_tecnologia_hackers_negocio_millonario_kv
2 https://www.symantec.com/content/dam/symantec/docs/about/2017-ncsir-global-results-en.pdf
Tendències de Seguretat 2017 – CESICAT | 7
situació on actuem de manera reactiva i la ciberdelinqüència sempre va dos passos endavant. És cert que hi ha molt esforç per lluitar contra la delinqüència a Internet, però tot aquest esforç és insuficient.
Veiem com s’aprofiten vulnerabilitats que en el seu dia ja havien estat identificades, però els endarreriments en la posada al dia de servidors, ordinadors i altres aparells connectats a Internet són terreny adobat pels atacants, que ho tenen fàcil per treure profit dels seus atacs.
Igualment, observem com la mancança d’un disseny segur de programari i maquinari, així com la posada en el mercat de solucions no suficientment provades, faciliten la feina a la ciberdelinqüència.
Si a tot això hi afegim la poca consciència generalitzada dels perills de no mantenir els equips actualitzats, tenim una situació realment preocupant que ens obliga a ser molt creatius per revertir-la.
L’evolució del ransomware ha estat una de les tendències més rellevants, especialment de la mà del Wannacry, que va afectar més de 560.000 usuaris a més de 150 països
Seguint en el terreny de les tendències del 2017, apuntem a una Un exploit és una eina de evolució del ransomware a causa de la infecció massiva pel programari dissenyada per malware WannaCry, que es va produir de manera aleatòria i no aprofitar una vulnerabilitat dirigida, aprofitant que companyies i particulars no havien actualitzat o error i aconseguir el comportament no desitjat els sistemes operatius dels seus ordinadors malgrat feia un mes que
d’un dispositiu. el pegat ja estava disponible. Per a l'atac es van utilitzar exploits de nivell governamental que havien estat robats a la NSA un any abans.
Els robatoris o fugues de credencials han continuat sent una tendència per a les grans organitzacions, com ho evidencien els 57 milions de dades personals robades a Uber3 4, els 143 milions a Equifax ICN5 6 o els 32 milions de comptes de correu de Yahoo7. Vinculat a aquest darrer, no podem oblidar el robatori de més de 1.000 milions de comptes a Yahoo del 2013 i els 500 milions del 20148.
3 https://www.bleepingcomputer.com/news/security/uber-supposedly-paid-hackers-100-000-to-keep-quiet-about-a-2016-data-breach/
4 http://www.zdnet.com/article/uber-says-data-breach-compromised-380k-users-in-singapore/
5 https://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
6 https://www.helpnetsecurity.com/2017/09/11/equifax-failed-miserably/
7 https://www.techrepublic.com/article/yahoo-confirms-32m-accounts-breached-in-2015-2016-forged-cookies-attack/
8 https://www.theguardian.com/technology/2016/dec/14/yahoo-hack-security-of-one-billion-accounts-breached
Tendències de Seguretat 2017 – CESICAT | 8
Es manté la tendència del robatori de credencials, al mateix temps que ha incrementat l'activitat del ciberespionatge i de l’hacktivisme
Amb relació a l’hacktivisme, trobem la filtració de 9GB de correus electrònics que afectaven el candidat Emmanuel Macron en la campanya presidencial francesa9. També es podria inscriure en aquest apartat, la sostracció d’eines d'espionatge a la CIA i posterior publicació a Wikileaks10, filtrant codis pel hacking de routers wifi11, intercepció de SMS a mòbils Android12, espionatge de càmeres13, etc.
En la mateixa línia d’accions hacktivistes, s'ha detectat un increment considerable d'atacs DDoS dirigits a objectius concrets, especialment plataformes de jocs, per tractar-se d’una indústria puntera i lucrativa, on la caiguda del servei té un fort impacte mediàtic atès que es converteix ràpidament en trending-topic a les xarxes socials, fòrums, etc.
Els atacants han perfeccionat l’atac DDoS amb la tècnica del PulseWave, que augmenta la potència de l'atac gràcies a les vulnerabilitats de les plataformes híbrides on-premise i cloud, tal com indica l'empresa Imperva Incapsula14.
En aquest sentit, identifiquem els atacs a Final Fantasy, Blizzard Entertainment i la plataforma nord-americana de jocs de cartes Cardroom. Un altre exemple d'atac és el que va tenir com a objectiu l'administració de loteria nacional del Regne Unit, que va deixar als clients sense poder jugar durant 90 minuts15 16.
El repàs del 2017 també ens obliga a destacar que l'increment i popularització de les criptomonedes ha convertit tot allò que hi té a veure en un món molt atractiu per als atacants. D’aquesta
9 https://www.theregister.co.uk/2017/05/06/hackers_release_9gb_of_email_from_macron_two_days_before_french_presidential_election/ 10 https://wikileaks.org/ciav7p1/ 11 https://www.theregister.co.uk/2017/06/15/wikileaks_dumps_cia_wifi_pwnage_tool_docs_online/ 12 https://betanews.com/2017/07/17/wikileaks-vault-7-highrise-sms/ 13 http://www.dailymail.co.uk/sciencetech/article-4757508/WikiLeaks-releases-details-CIA-webcam-spying-project.html 14 https://www.incapsula.com/blog/pulse-wave-ddos-pins-down-multiple-targets.html
15 www.silicon.co.uk/security/uk-national-lottery-ddos-222601 16 http://www.tomshardware.co.uk/imperva-pulse-wave-ddos-attacks,news-56488.html
Tendències de Seguretat 2017 – CESICAT | 9
manera hem vist com els atacs DDoS en aquest sector s'han multiplicat i, segons Imperva Incapsula, el 73% de les webs de serveis de criptomonedes que utilitzen els seus serveis han estat atacades mitjançant DDoS durant l’últim trimestre de l’any.
Aquests atacs DDoS fan ús de dispositius compromesos, majoritàriament dispositius IoT que, per una manca de normativa i les limitacions per incorporar-hi elements de seguretat, esdevenen presa fàcil. Segons el F5 Lab en el seu informe The Hunt for IoT Vol. 3: The Rise of Thingbots, en el primer semestre del 2017, els atacs utilitzant botnets van incrementar-se un 280%17.
Els dispositius IoT, a causa de la seva vulnerabilitat, segueixen sent notícia per ser objectiu en l’atac a infraestructures crítiques o per ser utilitzats, a través de botnets i tècniques DDoS, en l’atac a tercers
Arran de la proliferació de dispositius IoT en sectors industrials, cal destacar com han esdevingut l’autèntic taló d’Aquil·les de les instal·lacions d'infraestructures crítiques davant d’atacs. Amb l’objectiu de comprometre la infraestructura o prendre el control del seu funcionament, els atacants poden causar la seva indisponiblitat o, fins i tot, un dany físic.
Un exemple és la família de programari maliciós Triton que, dirigida a la manipulació de sistemes de control industrial, va ser detectat accidentalment fruit d’un error del malware que va causar l'apagada d'emergència dels sistemes de l'empresa Schneider Electric18 19.
17 https://f5.com/labs/articles/threat-intelligence/ddos/the-hunt-for-iot-the-rise-of-thingbots
18 https://blog.segu-info.com.ar/2017/12/triton-malware-contra-ics-de-schneider.html
19 https://www.wired.com/story/triton-malware-targets-industrial-safety-systems-in-the-middle-east/
Tendències de Seguretat 2017 – CESICAT | 10
HA ESTAT NOTÍCIA
El ransomware ha tingut un gran ressò mediàtic durant l'any 2017 El ransomware és un tipus pels efectes que va tenir a l'empresa Telefònica S.A. Es calcula que de programari maliciós que, van ser més de 1.200 ordinadors infectats pel ransomware Wannacry una vegada ha infectat un a Espanya (xifra molt optimista), tot i que va generar un fort impacte equip, remotament permet bloquejar-lo i/o xifrar els perquè va obligar a algunes organitzacions a parar part de les arxius en memòria. activitats fins que no van desinfectar els PC. De fet, davant la L’objectiu de l’atacant és notorietat de l'atac, van ser moltes les empreses que van tallar les demanar un rescat a canvi seves comunicacions, van enviar els treballadors a casa i van aturar de la clau de desxifrat dels activitats per por d’infectar-se. La situació es va agreujar amb arxius imprescindible per la seva recuperació. l'augment considerable d'avisos, per part dels empleats, d'incidències que no tenien res a veure amb l'atac20.
Ara bé, al marge del Wannacry, altres ransomware han atacat a petites i mitjanes empreses. Així, han aparegut casos de malware amb versions molt especialitzades de Cerber21 22, Locky23 i Petya (variant anomenada NotPetya) 24, entre els més coneguts.
També han tingut ressò múltiples successos que deixen palès que un objectiu dels cibercriminals segueix sent els dispositius IoT per la seva gran quantitat, varietat i relativa facilitat de ser infectats. Segons Kaspersky, durant el 2017 s’han duplicat aquests atacs.25
En aquest sentit, ens hem fet ressò de la proliferació de dispositius IoT connectats a la xarxa, com ara alarmes de seguretat, Smart TV, dispositius per a la gestió de l'energia, reguladors de temperatura industrials i domèstics, dispositius relacionats amb la salut, el seguiment dels nens i adolescents, etc. Aquests dispositius, majoritàriament, es connecten a Internet amb una configuració per defecte, de manera que són vulnerables a una ràpida infecció (a destacar el cas d’una càmera infectada en 98 segons pel malware de la botnet Mirai).26
.
20 https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos-1
21 http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-ransomware-evolves-now-steals-bitcoin-wallets/
22https://blog.malwarebytes.com/threat-analysis/2017/08/cerber-ransomware-delivered-format-different-order-magnitude/
23 https://blog.comodo.com/comodo-news/new-locky-ransomware-trojan-spotted/
24 https://www.infosecurity-magazine.com/news/fedex-notpetya-cost-us-300-million/
25 https://www.kaspersky.com/about/press-releases/2017_amount-of-malware-targeting-smart-devices-more-than-doubled-in-2017
26 https://techcrunch.com/2016/11/18/this-security-camera-was-infected-by-malware-in-98-seconds-after-it-was-plugged-in/
Tendències de Seguretat 2017 – CESICAT | 11
Tendències de Seguretat 2017 – CESICAT | 12
EVOLUCIÓ DE LES AMENACES
Amb relació a les amenaces, un dels aspectes destacables que Un pegat és una peça de apareix de manera regular és el fet que es puguin descobrir software que s’afegeix a un vulnerabilitats amb una existència de fins 20 anys que no havien programa per actualitzar-lo estat detectades prèviament. En altres casos, les vulnerabilitats amb l’objectiu de solucionar poden estar detectades i tenir identificats els corresponents vulnerabilitats, errors o millorar les seves pegats per solucionar-les, encara que no han estat implementats prestacions. per diferents motius (desconeixement, programari no original sense dret a actualitzacions, desconfiança als canvis, problemes de desenvolupament, detecció recent, etc.). Sigui com sigui, el conjunt d’aquestes vulnerabilitats poden ser explotades per ciberatacants27.
La realitat és que els processos d’actualització poden ser lents, impactar negativament en el programari, alentir o causar inestabilitat en els sistemes. Per aquesta raó, es segueix detectant sistemes desactualitzats que fomenten l’aparició i la persistència de vulnerabilitats, ja sigui a causa dels sistemes operatius, pels quals es publiquen actualitzacions regularment, les firmes de l’antivirus o les versions del firmware.
Entre les vulnerabilitats que han estat notícia aquest 2017, podem destacar el ROBOT (Return of Bleichenbacher's Oracle Attack) RSA28 (19 anys d'antiguitat): una vulnerabilitat que permet realitzar operacions de desxifrat RSA comprometent la clau privada d'un servidor TLS29.
També s’han detectat vulnerabilitats que afecten al nucli de Linux (11 anys d'antiguitat)30, al Microsoft Office Word (17 anys d'antiguitat)31 i, encara molt més crític, vulnerabilitats dels connectors Wordpress (9 anys d'antiguitat) que es troben sense suport per desús, tot i que s'utilitzen en més de 100.000 servidors32. Finalment cal esmentar el descobriment de vulnerabilitats relatives al maquinari, com és el cas d'Intel Active Management Technology (9 anys d’antiguitat), la qual afecta als processadors33.
27 https://community.ubnt.com/t5/EdgeMAX/20-year-old-flaw-found-in-Ubiquiti-networking-gear-running/td-p/1874011
28 https://robotattack.org/
29 https://www.us-cert.gov/ncas/current-activity/2017/12/13/Transport-Layer-Security-TLS-Vulnerability
30 https://www.csoonline.com/article/3173687/security/eleven-year-old-root-flaw-found-and-patched-in-the-linux-kernel.html
31 https://threatpost.com/microsoft-patches-17-year-old-office-bug/128904/
32 https://www.wordfence.com/blog/2017/05/22-abandoned-wordpress-plugins-vulnerabilities/
33 https://thenextweb.com/insider/2017/05/02/intel-sold-remotely-exploitable-workstation-server-chips-almost-nine-years/
Tendències de Seguretat 2017 – CESICAT | 13
Pel que fa a l'explotació de les vulnerabilitats, en aquest 2017 ha estat una constant l’ús de malware, especialment en forma de ransomware. De fet, s’ha constatat com diferents versions d’un mateix malware apareixen diàriament dissenyades per no ser detectades, transcorrent menys de 24 hores entre versió i versió (temps màxim que triguen els antivirus en actualitzar les signatures en tots els clients). Tanmateix, la manera més habitual per la qual s'introdueixen en organitzacions o ordinadors particulars segueix sent l'enviament massiu de correus electrònics, amb un arxiu infectat i un text que convida a obrir-lo, com ho demostra l'augment significatiu del correu spam34.
Segons el fabricant d'antivirus Panda, podem detectar fins a 1.500 programes maliciosos al dia, quan fa alguns anys se’n detectaven 400 al mes35. Per la seva banda, AV TEST Institute afirma que es registren més de 250.000 noves variants diferents de malware al dia, amb un creixement del total de malwares detectats anualment que es mostra en el següent gràfic36:
EVOLUCIÓ DEL NOMBRE TOTAL DE MALWARE DETECTAT PER ANY
34 https://www.av-test.org/en/statistics/malware/ 35 https://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/ 36 https://www.av-test.org/en/statistics/malware/
Tendències de Seguretat 2017 – CESICAT | 14
TENDÈNCIES
ROBATORI DE CREDENCIALS
El robatori de credencials ha esdevingut un dels objectius de la La dark web és la xarxa ciberdelinqüència aquest 2017 pel seu increment significatiu. El valor accessible mitjançant un de les dades personals i l’obtenció de credencials per aconseguir programari específic i que, per les seves privilegis en els sistemes o robar informació són els motius de característiques d’anonimat l’augment del nombre d’atacs. i difícil traçabilitat, allotja multitud de mercats il·legals L'obtenció de credencials és una porta per comprometre els sistemes o continguts inadequats. d'una organització. Amb aquest principi, aquest 2017 destaquen
Sovint el terme deep web alguns robatoris massius com els 143 milions de dades personals a 37 38 s’utilitza com a sinònim Equifax ICN , o el cas de la xarxa social Taringa, on 28 milions però, en realitat, aquesta es d'usuaris van ser víctimes de l'apropiació indeguda dels seus refereix a la part de la xarxa perfils en quedar al descobert les seves credencials d'accés39. no visible per cercadors d'Internet (no indexada). La Nissan Finance Canada també anunciava que les dades personals dark web és un subconjunt d'1,3 milions de clients van quedar exposades a conseqüència d'una de la deep web. filtració de dades, descoberta per l’empresa a finals de de 201740.
4iQ anunciava el descobriment, a la dark web, d'una BD amb més d'1.400 milions de credencials
Al desembre de 2017, 4iQ anunciava el descobriment, a la dark web, d'una base de dades amb més d'1.400 milions de credencials en text pla sense xifrar. "Qualsevol que vulgui, pot simplement obrir-lo, fer una recerca ràpida i començar a tractar d'iniciar sessió en els comptes d'altres persones", escriu Lee Matthews en una peça de Forbes. Aquesta base de dades inclou fonts de filtracions ja conegudes, juntament amb noves claus i hashes que han estat compromesos i dels quals no se’n tenia constància41 42.
37 https://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
38 https://www.helpnetsecurity.com/2017/09/11/equifax-failed-miserably/
39 http://thehackernews.com/2017/09/taringa-data-breach-hacking.html
40 http://securityaffairs.co/wordpress/67023/data-breach/nissan-finance-canada-hacked.html
41 http://www.henet.mx/1-4-mil-millones-de-credenciales-de-texto-sin-formato-filtradas-en-la-red-oscura/
42 https://www.redeszone.net/2017/12/12/mas-1-000-millones-contrasenas-usuarios-se-filtran-texto-plano/
Tendències de Seguretat 2017 – CESICAT | 15
Aquests fets permeten constatar com es manté una dels tendència dels darrers anys, amb la reiteració d’importants robatoris de credencials i dades personals.
Sabies que..
… moltes notícies de robatori de credencials es coneixen passat els anys.
Tendències de Seguretat 2017 – CESICAT | 16
ROBATORI D’INFORMACIÓ
Els atacs basats en l’ús de credencials d'administradors de xarxa, sistemes o bases de dades són objectius preferents dels cibercriminals pels seus resultats especialment lucratius.
L'atac a credencials d'administradors de xarxa, sistemes o BD són els objectius preferents dels cibercriminals pels seus resultats especialment lucratius
Un exemple de l’obtenció d’informació confidencial el tenim en la base de dades emmagatzemada en un contenidor d'Amazon Simple Storage Service (S3) de l'empresa d'anàlisi Alteryx. El contingut l'aquesta BD va revelar les dades financeres i personals de 123 milions de llars nord-americanes. No obstant això, aquesta fallada de seguretat va ser detectada per un investigador de UpGuard i, per aquest motiu, no hi va haver les mateixes conseqüències que si els cibercriminals s’haguessin apropiat de la base de dades43.
La consultora Deloitte va ser també atacada utilitzant la contrasenya d'administrador del seu servidor de correu electrònic. Van quedar al descobert els correus de 244.000 treballadors de l'empresa i, per tant, milers de clients de Deloitte també van quedar afectats pel contingut de correus amb les corresponents dades confidencials. Si bé l'incident no es va donar a conèixer fins a l'abril del 2017, es creu que l'atac va començar a finals de 201644. Sabies que... També podem veure com el robatori d’informació afecta tauletes i ... la importància del mòbils intel·ligents, amb els sistemes operatius Android i iOS, com en robatori d’informació el cas descobert pel centre de seguretat Kromtech en el qual, a causa és especialment d’una BD mal configurada, es podia accedir a dades i detalls de 31 crítica pel que fa a l’ús que es pot fer d’ella. milions d'usuaris que havien estat recopilades per un popular teclat virtual.
43 https://nakedsecurity.sophos.com/2017/12/22/data-on-123-million-us-households-exposed/
44 https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails?CMP=share_btn_tw
Tendències de Seguretat 2017 – CESICAT | 17
ENGINYERIA SOCIAL
Segons Mitnick, l'enginyeria social es basa en quatre principis bàsics L’enginyeria social de pura psicologia: “tots volem ajudar, d'entrada sempre tendim a engloba tècniques de confiar en l'altre, no ens agrada dir no i sí ens agrada que ens lloïn”45. manipulació de persones amb l’objectiu d’eludir els L'enginyeria social ha estat, històricament, un recurs recurrent a l'hora sistemes de seguretat. Els de dissenyar atacs als sistemes informàtics. Apart de les tradicionals atacants fan servir la força persuasiva i s'aprofiten de formes d'accedir a les víctimes, com són els correus electrònics, les la innocència de l'usuari trucades telefòniques, la cessió de llapis de memòria infectats, etc., fent-se passar per un actualment, la utilització de les xarxes social (Twitter, Facebook, conegut, un tècnic, un Instagram, LinkedIn, etc.) és un altre focus d’atacs. administrador o una empresa de confiança per Una manera efectiva que utilitzen els cibercriminals és crear perfils obtenir informació. falsos i usuaris ficticis a les xarxes socials, establir relacions de confiança amb les futures víctimes i, un cop guanyada aquesta Sabies que... confiança, executar l'atac: intercanvien correus on s’infecta ... durant el 2017 l'ordinador per aconseguir l'accés als sistemes d'informació d'on s’ha fet ús per treballen, se sol·licita accés a informació sensible o, en els casos més primera vegada del extrems, es fa xantatge a la víctima sol·licitant una suma econòmica domini ".fish" per a a canvi de no filtrar informació personal. Aquesta manera d'operar és una pàgina de freqüent per captar víctimes que són extorsionades, on un dels phishing. col·lectius més afectats són els adolescents. Una altra estratègia són els correus de phishing enviats de manera massiva i indiscriminada, que encara generen resultats positius pels atacants. Són coneguts els correus simulant ser de la Hisenda Pública en els quals, aprofitant la campanya de declaració a Hisenda, es demanava informació personal i bancària per obtenir una suposada devolució d'impostos. En aquesta línia també es troben els correus que simulen ser d'una entitat bancària i sol·liciten un canvi de contrasenya per qüestions de manteniment o qualsevol altra excusa46.
45 https://www.pandasecurity.com/mediacenter/security/social-engineering-businesses/
46http://www.agenciatributaria.es/AEAT.internet/Inicio/RSS/Todas_las_Novedades/Le_interesa_conocer/La_Agencia_Tributaria_advier
te_de_un_nuevo_intento_de_fraude_tipo__phishing__a_traves_de_Internet.html
Tendències de Seguretat 2017 – CESICAT | 18
Ara bé, els atacs de phishing són cada dia més sofisticats, simulant El phishing és un atac pàgines web molt realistes per enganyar les víctimes amb l’objectiu d'enginyeria social en el que aquestes proporcionin informació confidencial i personal. Si bé qual l’atacant imita una organització de confiança encara s'utilitza el mailing indiscriminat, cada vegada és més simulant l’entorn habitual personalitzat i enfocat, gràcies a l'estudi que es pot fer de les d'interacció de l'usuari víctimes mitjançant els seus perfils a les xarxes socials. En (pàgina web, correu alguns casos recents, algunes webs fan inclús ús de mesures de electrònic, aplicació, etc.) amb l’objectiu d’enganyar-lo seguretat, com ara certificats TLS, per intentar convèncer els usuaris 47 i obtenir-ne un benefici o que els llocs de pesca són fiables .
informació.
Els atacs de phishing cada vegada són més personalitzats i enfocats, gràcies a l'estudi que es pot fer de les víctimes mitjançant els seus perfils a les xarxes socials
47 https://www.itnews.com.au/news/digital-certificate-use-by-phishing-sites-spikes-458183
Tendències de Seguretat 2017 – CESICAT | 19
CIBERESPIONATGE I HACKTIVISME
Durant l'any 2017, l'espionatge entre estats i empreses s'ha El ciberespionatge és intensificat de manera exponencial. El ciberespionatge, ja sigui en la l’activitat secreta que, crisi comercial i política entre els EUA, Rússia i la Xina, o en els utilitzant el ciberespai com conflictes bèl·lics a l'Orient Mitjà, consisteix en la intervenció dels a espai d’acció les tecnologies de la estats per influir en la política interna d'altres estats i és una situació informació com a les que ha arribat per quedar-se. Per aquesta raó, actualment, els estats úniques armes, consisteix inverteixen molts milions d'euros per aconseguir tant la capacitat de en intentar aconseguir defensar-se de ciberatacs com per ciberatacar als seus oponents. informació confidencial o causar un perjudici, Els ciberatacs d’origen hacktivista, amb la intenció d’influir en l’agenda especialment, amb relació social, augmenten amb motiu d’esdeveniments polítics. S’han pogut a un país estranger. identificar casos com la filtració de 9 GB de correus, durant la carrera presidencial francesa, que buscava desestabilitzar el procés electoral i afectar al resultat.
Els atacs hacktivistes en ocasions són causats per terceres parts que, si bé no estan afectades pels esdeveniments en qüestió, busquen la desestabilització d'una o de diverses de les parts implicades
Fent referència de nou al paper dels estats, darrerament es poden Una VPN (Virtual Private identificar alguns exemples de la seva intervenció en l'activitat de la Network) permet l'extensió segura d’una xarxa local xarxa en un intent de limitar i controlar el seu ús. A Rússia, a partir (LAN) sobre una xarxa d'octubre de 2017, van entrar en vigor unes lleis que limiten la pública com Internet, de utilització de VPN: s’obliga a tots els proveïdors a estar registrats i a manera que externament garantir que no donaran accés a aquelles webs prohibides pel govern, no es pot monitoritzar la així com informaran de qualsevol violació i accés no autoritzat a les comunicació ni les dades 48 transmeses. Això és mateixes . Anàlogament, també s’ha posar en entredit la suposada possible perquè el tràfic de neutralitat d’agents com els fabricants d’antivirus i les empreses dades de l’usuari es dirigeix de seguretat. Destaca, per la seva rellevància política, la prohibició a un servidor VPN i, de l’administració dels EEUU a utilitzar els productes del fabricant posteriorment, la connexió 49 entre el servidor VPN i el Karspensky amb seu a Rússia . destí es realitza de forma Durant el 2017 també hem vist com s’utilitzen partidàriament les xifrada i anònima pel proveïdor d’Internet. xarxes socials per mitjà de la proliferació de notícies falses o fake news, donada la seva ràpida i àmplia difusió. Això inclou des de la
48 https://www.scmagazine.com/russia-bans-non-compliant-vpns/article/704707/
49 https://cincodias.elpais.com/cincodias/2017/12/19/companias/1513716270_387308.html
Tendències de Seguretat 2017 – CESICAT | 20
informació manipulada amb fins polítics i econòmics, la difamació de persones i empreses, la generació de pànic (risc d'atemptat, catàstrofes, etc.), fins a falsos consells i manuals que poden posar en risc la salut i/o integritat dels usuaris. En molts d'aquests casos es fa ús de bots en xarxes socials per a "automatitzar" la difusió i crear tendències amb aquestes notícies falses50.
50 http://www.lavanguardia.com/politica/20180115/4439810825/la-ue-acelera-su-lucha-contra-las-noticias-falsas-que-amenazan- democracia.html
Tendències de Seguretat 2017 – CESICAT | 21
CRIPTOMONEDES
Les monedes virtuals han estat un mitjà tradicional de les transaccions econòmiques dels ciberdelinqüents, que els permet amagar els seus beneficis i rebre els pagaments d’extorsions de forma anònima (per exemple, en el pagament del rescat pels atacs amb ransomware).
L'augment exponencial del valor de les criptomonedes i la seva popularització ha estat una nova atracció per a la indústria de la ciberdelinqüència.
Atès l’alt valor de les criptomonedes, el seu robatori i els atacs a pàgines web que en gestionen han esdevingut un objectiu de font d’ingressos.
A finals de desembre de 2017, es va publicar la notícia que l’intercanviador de criptomonedes EtherDelta havia patit un atac DNS, permetent als atacants el robatori de l'equivalent a 266.789 $ i una gran quantitat de tokens51. No és l'únic cas, ja que durant aquest any es va comprometre el Projecte Enigma, amb un robatori de més de 470.000 $ en Ethereum52, així com el cas del robatori a Sabies que... YouBit, on la suma sostreta va ascendir a 4,3 milions $ en ... a Tarragona s'ha Bitcoins53. realitzat la primera compra-venda d'un D'altra banda, una fallada de paritat en les carteres de Ethereum habitatge en va causar la pèrdua de més de 280 milions de dòlars en Bitcoins. En total van criptomonedes sense possibilitat de recuperació54. ser 41 Bitcoins (550.000 € en el Lookout va publicar al seu bloc un cas diferent, en el qual tres moment de la aplicacions d'Android disfressades de moneders de Bitcoin transacció). servien per enviar pagaments a l'adreça de l'atacant. Descoberta
51 http://securityaffairs.co/wordpress/67146/cyber-crime/exchange-etherdelta-dns-attack.html
52 https://www.bleepingcomputer.com/news/security/hacker-steals-475-000-worth-of-ethereum-after-breaching-enigma-project/
53 http://unaaldia.hispasec.com/2017/12/la-casa-de-intercambio-de-bitcoin.html
54 http://securityaffairs.co/wordpress/65303/digital-id/ethereum-parity-wallet-flaw.html
Tendències de Seguretat 2017 – CESICAT | 22
l'estafa, Google Play Store va treure ràpidament les apps, tot i que no va poder evitar que s’haguessin realitzat 20.000 descàrregues55.
Inclús s'ha arribat a un punt on ha estat rentable contractar hackers que manipulin i ataquin aquests sistemes per, virtualment, inflar el valor de la criptomoneda, convertint-la en un valor d'inversió molt potent. El fet és que gent que va invertir tot just 100 € en moneda digital fa 5 anys poden ser actualment milionaris.
S'ha arribat a un punt on és rentable contractar hackers que manipulin i ataquin aquests sistemes per, virtualment, inflar el valor de la criptomoneda
Un altre recurs que han utilitzat els hackers per motius lucratius és la La mineria de mineria de criptomonedes fent ús d’un malware que, criptomonedes o comprometent el maquinari de tercers, n’utilitza la capacitat de criptomineria és el procés computació. Un exemple d'això és el cas del gegant rus del oleoducte de validació de les Transneft, ordinadors del qual estaven infectats per un malware de transaccions fetes amb criptomonedes a través de criptomineria incrustat. la resolució d’un càlcul matemàtic complex fent ús Anàlogament, mitjançant Facebook Messenger s’ha expandit el dels recursos malware Digmine amb l’objectiu de minar criptomonedes des de computacionals d’un l'ordinador infectat. Utilitzant un vídeo com a esquer, infecta dispositiu que, en aquestes l'ordinador i es transmet a través dels contactes infectant a altres funcions, rep el nom de ordinadors56. miner. Un cop el miner ha resolt el càlcul, rep una Altres casos rellevants són l’extensió de Chrome que incloïa un recompensa en criptomonedes que pot programari de mineria de moneda digital i el cas de la inclusió de codi 57 variar segons la moneda i la de mineria a servidors Wordpress compromesos . transacció.
55 http://securityaffairs.co/wordpress/67123/malware/fake-bitcoin-wallet-apps.html
56 https://www.certsi.es/alerta-temprana/bitacora-ciberseguridad/compania-rusa-oleoductos-usada-minar-criptomonedas
57 https://computerhoy.com/noticias/software/digmine-malware-criptominado-que-ataca-facebook-messenger-73359
Tendències de Seguretat 2017 – CESICAT | 23
INTERNET DE LES COSES, IoT
Un dels principals objectius dels cibercriminals segueix sent els dispositius IoT, per la seva gran quantitat, varietat i la relativa facilitat per ser atacats.
"En l'últim any, es va poder veure que no només era possible atacar Una botnet és un conjunt els dispositius connectats, sinó que teníem davant un autèntic perill. o xarxa de robots Hem vist en aquest any com el nombre de malwares dirigits contra informàtics (bots) que l’IoT creixia, però encara queda molt recorregut per davant. s'executen de manera autònoma i automàtica. Aparentment, l'alta competitivitat en el mercat dels atacs DDoS, està L'artífex de la botnet pot fent que molts d'aquests cibercriminals busquin nous recursos que controlar tots els permetin augmentar la força de les seves accions. Diversos analistes ordinadors/servidors prediuen que, en el 2020, el nombre de dispositius IoT podria arribar infectats de forma remota i poden ser utilitzats per a a assolir una xifra entre 20 i 50 mil milions", comenta Vladimir 58 dur a terme activitats Kuskovo, experta en seguretat de Kaspersky Lab . criminals. Com a conseqüència d’aquesta proliferació de dispositius IoT i la seva vulnerabilitat, cal destacar la recent detecció de la xarxa botnet Satori, que aprofita una vulnerabilitat dels routers Huawei i sembla que podria arribar a superar la potència de la botnet Mirai59.
Dins de la diversificada aparició de dispositius IoT, cal fer menció específica de les joguines connectades a Internet. Ja són múltiples els exemples de falles de seguretat per les quals s'han exposat converses i fotografies de menors, com en el cas de la filtració d’informació dels fabricants Vtech Espiral Toys60 o l’aparició de joguines que poden ser utilitzades per hackers amb l’objectiu d’espiar 61. Això ha portat al fet que l'FBI publiqués un avís del risc que poden suposar aquestes joguines per a la privacitat i, fins i tot, la pròpia seguretat dels menors62.
Addicionalment, aprofitant que el comprador no n’és conscient, els fabricants estableixen uns termes de privacitat i confidencialitat
58 https://www.kaspersky.com/about/press-releases/2017_amount-of-malware-targeting-smart-devices-more-than-doubled-in-2017
59 http://unaaldia.hispasec.com/2017/12/grave-vulnerabilidad-en-routers-huawei.html
60 https://www.computerworld.com/article/3012173/security/this-is-why-tech-toys-are-dangerous.html
61 https://news.sophos.com/es-es/2017/12/26/juguetes-cada-dia-mas-inteligentes-pero-son-seguros/
62 https://www.ic3.gov/media/2017/170717.aspx
Tendències de Seguretat 2017 – CESICAT | 24
Sabies que... insuficients tenint en compte els riscos que poden suposar. Aquests termes acostumen a cedir el control absolut pel tractament de les ... un casino dels dades obtingudes i la llibertat d'aconseguir-ne beneficis de la manera Estats Units va ser atacat aprofitant una que més convingui als fabricants, fins i tot compartint la informació vulnerabilitat de amb tercers. En el cas comentat, les joguines incorporen anuncis seguretat d’un “aquari subliminals per incentivar la compra d’altres productes de la casa o intel·ligent” connectat dels seus socis. a la xarxa. Si es compara el tractament de la ciberseguretat de les joguines amb el de la seguretat física, es constata com aquesta última està altament regulada (anualment es retiren un gran nombre de joguines pel risc físic per als menors), però no passa el mateix amb la primera, dotant a cada fabricant de la capacitat de decidir les corresponents mesures a aplicar.
En aquest sentit, un dels reptes a resoldre per la indústria IoT és garantir la seguretat dels seus dispositius. Els fabricants han d'implementar una seguretat activa, amb possibilitats d’implementar una configuració adequada, paraules de pas fortes, actualització del firmware i, en general, permetre que l'usuari conegui les implicacions de la seva utilització en termes de seguretat. Ara bé, això és un gran desafiament donat l'increment de cost i la complexitat que pot suposar (processament addicional, latència, risc de fallada durant actualitzacions, etc.).
Uns dels aspectes que ha de resoldre la Indústria d’IoT és garantir la seguretat dels seus dispositius. Els fabricants han d'implementar una seguretat activa amb possibilitats de configurar correctament paraules de pas fortes, actualització del firmware, etc.
No obstant això, a dia d’avui encara estem lluny d’aquest objectiu i són molts els casos que evidencien com és de fàcil piratejar dispositius IoT. Unes 120.000 càmeres del fabricant xinès Shenzhen Neo Electronic presenten una vulnerabilitat que permet prendre el control total sobre la càmera i utilitzar per crear botnets, independentment de la configuració de l'usuari63. Anàlogament, hi ha dispositius IoT que no obliguen a canviar les credencials d'accés, fet que els fa tant vulnerables com si no tinguessin protecció, atès que
63 https://motherboard.vice.com/en_us/article/j5qwb8/more-than-120000-internet-connected-cameras-can-be-easily-hacked-researcher-
warns
Tendències de Seguretat 2017 – CESICAT | 25
les contrasenyes per defecte es troben llistades en multitud de llocs a Internet. 64
La situació esdevé més severa davant de la irrupció i ràpida proliferació de dispositius IoT en entorns industrials, atès que són objectiu d’atacs que pretenen controlar infraestructures crítiques manipulant els Sistemes de Control Industrial (ICS). És el cas del malware Triton que provoca la interrupció operativa del sistema i impedeix que els sistemes de seguretat executin la seva funció65. En general, aquests tipus d'atac segueixen el patró del pioner Stutnex, atacant infraestructures crítiques per tal de desestabilitzar-les o inhabilitar-les.
A Israel, s’ha descobert un cas destacable força innovador, en el qual s’ha identificat la manera de capturar informació a partir dels PLC industrials mitjançant la freqüència que emeten a l'hora d'escriure en memòria. Un grup d’investigadors van analitzar les ones de ràdio d'aquests sistemes i van trobar que la freqüència canvia quan les dades s’escriuen en la memòria del dispositiu: una determinada freqüència representa un bit "0" i una de diferent representa un bit "1". Per tant, un atacant podria utilitzar aquests PLC per filtrar informació confidencial de dins de la organització bit a bit, capturant les freqüències d’escriptura dels PLC des de l’exterior amb una antena pròxima i desxifrant-les66.
64 https://www.incibe.es/protege-tu-empresa/blog/iot-riesgos-del-internet-los-trastos
65 https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
66 http://www.securityweek.com/hackers-can-steal-data-air-gapped-industrial-networks-plcs
Tendències de Seguretat 2017 – CESICAT | 26
CIBERASSETJAMENT I EXTORSIÓ
L'anonimat, la no percepció directa i immediata del dany causat i la El ciberassetjament és possibilitat d’adopció de rols imaginaris a la xarxa fan que, aquest l’assetjament que es tipus d'atacs, siguin cada dia més freqüents. produeix a través d'Internet, especialment per Si hi sumem la popularització de les xarxes socials, els videojocs en mitjà de les xarxes socials i línia i la proliferació dels mòbils intel·ligents en adolescents, podem les aplicacions mòbils. Els afirmar que l'assetjament a Internet, ciberassetjament o cyberbullying ciberassetjadors emeten comentaris ofensius, s’ha convertit en un greu problema. A diferència del bullying, que es amenacen, poden publicar refereix a l'assetjament a l'escola, el cyberbullying afecta al informació de contacte col·lectiu de companys d'escola però també a joves amb qui es personal de les víctimes i, té relació a través de les xarxes socials67. fins i tot, suplantar la seva identitat per publicar El fet que els joves tinguin un domini major de les tecnologies que continguts falsos amb l’objectiu de difamar o en generacions anteriors, superant els coneixements dels seus pares, ridiculitzar. fa que la supervisió sigui complexa. Exemples clars d’això són les proves pilot a instituts en les quals es distribuïen iPads restringits als
usuaris i, davant la sorpresa dels professors, en menys d'una setmana estaven tots els dispositius desbloquejats pels alumnes68.
En quan a les diferents formes de ciberassetjament, aquestes poden anar des de l’insult, la difamació i arribar a les amenaces o a l'extorsió, provocant en la víctima un estat d'angoixa que, en alguns casos, arriba al suïcidi.
En un estudi realitzat per la Fundació Anar amb la col·laboració de la Mútua Madrilenya, es constata que els casos de ciberassetjament han baixat lleument l’edat mitjana a 13,6 anys. Segons l’informe, les agressions verbals són el principal tipus de ciberassetjament, seguit de les amenaces, tot i que ha crescut la difusió d'informació personal de la víctima i el pirateig de comptes. En la majoria d’ocasions, l'eina més utilitzada és el telèfon mòbil i el WhatsApp n’és la xarxa preferent, afegeix l'informe69.
67 https://www.anar.org/estudio-ciberbullying/
68 https://www.theatlantic.com/technology/archive/2013/10/students-are-hacking-their-school-issued-ipads-good-for-them/280196/
69 https://www.anar.org/estudio-ciberbullying/
Tendències de Seguretat 2017 – CESICAT | 27
Sabies que... La Fundació Anar descriu que les agressions verbals, insults o paraules ofensives directes prevalen sobre la resta de conductes ... els reptes de les xarxes socials, com el (present en el 52,1% dels successos). Seguidament es manifesten les de la balena blava, conductes amb amenaces (22,3%), la difusió d'imatges i vídeos han arribat a ser tan compromesos (20,2%) i la difusió d'informació personal, segueix populars que fins i tot comentant l'informe70. has estat objecte de pel·lícules com Nerve La situació que cal destacar és que les xarxes socials són una font (2016). de difusió actualment incontrolable, on s'han popularitzat reptes que posen en risc la integritat o inclús la vida dels mateixos joves (balena blava)71.
70 https://www.anar.org/wp-content/uploads/2017/04/INFORME-II-ESTUDIO-CIBERBULLYING.pdf
71 https://listas.20minutos.es/deportes/los-juegos-peligrosos-de-internet-como-la-ballena-azul-420959/
Tendències de Seguretat 2017 – CESICAT | 28
MOBILITAT
Sabies que... Fruit de la proliferació de mòbils intel·ligents i de tauletes, així com de l’ampli ventall de tecnologies en matèria de connectivitat, els usuaris ... a partir d’accessoris ja realitzen tota mena d’activitats de la vida diària i que monitoritzen el rendiment esportiu i emmagatzemen una gran quantitat d'informació sensible a través que incorporen GPS, dels seus dispositius. En conseqüència, els ciberdelinqüents se van quedar centren cada vegada més en aquests dispositius, introduint malware descobertes bases amb l’objectiu d’obtenir un ampli espectre de possibles beneficis: secretes dels Estats robatori d'informació sensible, credencials, dades bancàries, Units a països com Iraq o Afganistan. extorsió, ús dels dispositius per perpetrar atacs DDoS o minar moneda digital, etc.
Segons un informe de Check Point, els serveis financers (29%) i els governamentals (26%) van experimentar la major part d’atacs de programari maliciós en mòbils, molt més enllà de la presència efectiva d’aquests serveis. El fet és que ambdós sectors ofereixen possibilitats valuoses per als atacants, com grans dipòsits d'informació financera i personal. Val a dir que els serveis tecnològics (18%) també van ser fortament afectats per aquest tipus de malware72.
ATACS AMB MALWARE SOBRE SERVEIS MÒBILS PER SECTOR
En qualsevol cas, els atacants aprofiten les vulnerabilitats dels sistemes operatius que faciliten la infecció dels sistemes i el robatori d'informació. Aquest punt s’agreuja amb la falta d'actualització de molts terminals, de manera que alguns fabricants amb prou feines proporcionen actualitzacions puntuals al llarg d'1 o 2 anys.
72 http://www.sadvisor.com/wp-content/uploads/2017/11/Informe-sobre-amenazas-a-los-dispositivos-móviles-en-ambientes-corporativos.pdf
Tendències de Seguretat 2017 – CESICAT | 29
Un dels atacs que més persegueixen és el que fa referència a les transaccions bancàries, on es desenvolupa malware per saltar- se l'autenticació de dos factors que utilitzen les entitats bancàries
Els atacs més utilitzats tracten d’explotar vulnerabilitats en el procés L’overlay és un atac amb de les transaccions bancàries fent ús de malware que permeti programari maliciós a comprometre l'autenticació de dos factors que utilitzen les entitats través del qual l’atacant crea una interfície gràfica bancàries. Això passa, per una banda, pel robatori de credencials falsa superposada a les d'accés a les aplicacions bancàries per mitjà d’atacs de tipus overlay aplicacions legítimes, amb o phishing, arribant a extrems en els quals es clona la targeta SIM dels l’objectiu d’enganyar als dispositius per capturar la recepció del SMS de validació d'operacions usuaris i que introdueixin bancàries73 74. dades o credencials que arriben directament a Finalment, cal destacar la popularització d’un gran nombre de l’atacant. dispositius mòbils que contenen funcionalitats similars als telèfons mòbils o que disposen d'integració amb els mateixos. Aquests dispositius, en moltes ocasions, recopilen dades de geolocalització, salut de l'usuari, activitat diària, etc., informació que pot ser de gran valor per als atacants.
73 https://securelist.com/jack-of-all-trades/83470/
74 http://blog.trendmicro.com/trendlabs-security-intelligence/toast-overlay-weaponized-install-android-malware-single-attack-chain/
Tendències de Seguretat 2017 – CESICAT | 30
DDoS
Sabies que... Durant l'any 2017, el nombre d’atacs DDoS (Denegació de Servei Distribuït) s’ha incrementat notablement. L'objectiu principal que ... el teu router de persegueix aquest tipus d'atac és l'obtenció de beneficis econòmics casa podria estar mitjançant el xantatge, tot i que hi ha casos en els quals únicament es infectat amb codi busca minvar la reputació de la víctima. El fet és que els maliciós i ser utilitzat per cometre atacs de ciberdelinqüents utilitzen, cada vegada més, botnets formades per DDoS. dispositius IoT infectats que permeten aconseguir atacs massius i de gran impacte.
Segons ha indicat Kaspersky, els atacs DDoS a empreses s’han incrementat més d’una tercera part (33%) durant aquest any, un increment notable respecte el 2016 (17%)75.
De la mateixa manera, també han incrementat els atacs per raons polítiques, com en els atacs que va partir la web de Aljazeera durant la crisi de Qatar i les webs de Le Figaro i Le Monde arran de les eleccions franceses76. Aquests atacs són causats, sobretot, per El DDoS (Distributed Denial motivacions polítiques o socials i tenen la voluntat de desestabilització of Service) és un atac en moments crítics. originat per una xarxa de dispositius o botnet que, Tal com es pot observar en el següent gràfic77, la intensitat dels amb l’objectiu de causar la indisponiblitat d’un servei i atacs DDoS s’ha anat incrementant de forma vertiginosa en els impedir l’accés als usuaris darrers anys, però a partir de 2016 es visualitza una disminució legítims, saturen el tràfic i el que en certa mesura és una sorpresa, tenint en compte la capacitat processat computacional d’algunes botnet que actualment estan en actiu. Ara bé, els atacs que els servidors són DDoS cada vegada són més sofisticats i el seu impacte no depèn tant capaços de suportar. de la intensitat de l’atac com de la forma en què s’utilitza.
VOLUM MÀXIM REGISTRAT EN UN ATAC DDoS 900
800 800 Gbps 700 600 500 Gbps 600 Gbps 500 400 300 200 100 Gbps 60 Gbps 100 0 2005 2007 2009 2011 2013 2015 2017
75 https://www.kaspersky.com/about/press-releases/2017_ddos-devastation-on-organizations-continues-to-climb 76 https://securelist.lat/ddos-attacks-in-q3-2017/85669/ 77 «Arbor Networks (2016). “Worldwide Infrastructure Security Report”».
Tendències de Seguretat 2017 – CESICAT | 31
Centre de Seguretat de la Informació de Catalunya ® CESICAT a març de 2018
Tendències de Seguretat 2017 – CESICAT | 32
Informe sobre tendències en ciberseguretat elaborat pel CESICAT (primer trimestre 2018) 1r trimestre de 2018
Informe de Tendències
de Ciberseguretat
Índex
INTRODUCCIÓ ...... 5
VISIÓ GENERAL ...... 7
HA ESTAT NOTÍCIA ...... 9
TENDÈNCIES ...... 12
CRIPTOMONEDES ...... 12 SECTOR SANITARI ...... 17 POLÍTIQUES I XARXES SOCIALS ...... 19 SEGURETAT EN EL DISSENY ...... 23 APPLE ...... 25
CIBERAMENACES DETECTADES ...... 27
1. COMPROMÍS D’INFORMACIÓ ...... 27 2. DIFUSIÓ DE PROGRAMARI MALICIÓS ...... 29 3. ACCÉS LÒGIC NO AUTORITZAT ...... 31 4. FRAU ECONÒMIC ...... 32 5. EXECUCIÓ DE CODI ARBITRARI ...... 33 6. SUPLANTACIÓ D’IDENTITAT ...... 34 7. INFORMACIÓ/PROGRAMARI CORRUPTE ...... 34 8. DENEGACIÓ DE SERVEIS INTENCIONATS ...... 36 9. SABOTATGE ...... 37 10. ÚS INDEGUT DE RECURSOS ...... 38
Tendències de Seguretat T1 2018 – CESICAT | 3
Tendències de Seguretat T1 2018 – CESICAT | 4
INTRODUCCIÓ
Aquest document és fruit del seguiment i de l'anàlisi de les tendències en relació amb les amenaces de ciberseguretat detectades durant el primer trimestre del 2018 per part del CESICAT.
Per a la realització d'aquest informe s'ha tingut en compte l’activitat i la documentació pròpia generada pel CESICAT, així com diversos informes de referència i fonts qualificades de múltiples entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional.
El contingut d’aquest document està contrastat amb diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat
Tendències de Seguretat T1 2018 – CESICAT | 5
Tendències de Seguretat T3 2018 – CESICAT | 6
VISIÓ GENERAL
Durant el primer trimestre de 2018 hem observat una intensa activitat El malware o badware és un de la ciberdelinqüència i una tendència creixent en l’especialització tipus de programari que té com a objectiu infiltrar-se o dels atacs, amb un ús cada vegada més dirigit de versions de malware malmetre un equip o sistema i altres tècniques. informàtic sense el coneixement del propietari. En En aquesta línia, el malware dirigit a la mineria il·legal de funció de l’efecte que causi criptomonedes ha tingut un pes específic en les incidències sobre l’equip es classifiquen en: virus, cucs, troians, d’aquesta primera part de l’any. Es constata un increment en la rootkits, scareware, spyware, mineria de Monero, un fet esperonat per diferents motius com ara el adware, crimeware, etc. fet de poder fer les transaccions més anònimes o la facilitat per minar
des de qualsevol dispositiu. També, en relació amb les criptomonedes, hem observat una continuïtat en els atacs i els robatoris focalitzats en les plataformes de canvi.
Pel que fa al malware de tipus ransomware, no només persisteix, sinó que els atacs són descaradament cada vegada més específics. Amb el Ramsomware-as-a-Service (RaaS) i el bitcoin com a moneda de pagament, els ciberdelinqüents promouen la difusió de malware en format comercial, de la mateixa manera que ho faria un negoci empresarial.
Pel que fa al malware de tipus ransomware, no només persisteix sinó que els seus atacs són cada vegada més específics
També hem identificat nombrosos atacs de ransomware a hospitals, que han hagut de fer front a extorsions i, en algunes ocasions, al pagament d’importants sumes de diners. El fet és que el sector sanitari s’ha vist molt afectat pels atacs i per la fuita de dades personals de salut. En aquest sentit cal tenir en compte el valor en el mercat negre.
En el cas dels atacs de denegació de servei distribuït (DDoS), s’ha donat la circumstància que han baixat pel que fa a nombre, però també han augmentat en especificitat i intensitat, i han arribat a xifres
Tendències de Seguretat T1 2018 – CESICAT | 7
rècord. Un bon exemple el trobem durant aquest primer trimestre de El phishing és un atac l’any: aprofitant una vulnerabilitat del protocol ‘memcached’, s’ha d'enginyeria social en el qual realitzat l’atac DDoS més gran de la història, amb una intensitat d’1’7 l’atacant imita una organització de confiança Tbps. simulant l’entorn habitual d'interacció que l'usuari Finalment, i tenint en compte que a l’estat espanyol aviat començarà tindria amb ella (pàgina web, la campanya de la declaració de la Renda, cal alertar dels moviments correu electrònic, aplicació, de phishing molt personalitzat que s’ha donat als Estats Units, etc.). L’objectiu del phishing és enganyar l’usuari i obtenir un precisament relacionada amb el pagament d’impostos. De fet, tot i benefici econòmic o una que la campanya acaba de començar, ja han començat a aparèixer determinada informació. algunes incidències a Catalunya.
Hem observat moviments que, més enllà de la rellevància dels aspectes purament tecnològics, confirmen la incidència i l’interès dels governs pel que fa a diferents aspectes del món cibernètic
Al marge dels atacs, també hem observat moviments que, més enllà de la rellevància dels aspectes purament tecnològics, confirmen la incidència i l’interès dels governs pel que fa a diferents aspectes del món cibernètic. Per una banda, els Estats mostren la voluntat d’exercir una supervisió sobre les xarxes socials amb l’objectiu de controlar les notícies falses que afecten o volen influir sobre l’agenda social. D’acord amb les regulacions que imposen els Estats, cada vegada agafa més importància la ciberseguretat com a garantia de la privacitat i la protecció de les dades personals. D’altra banda, en relació amb les criptomonedes, s’observen diversos intents de control de l’ús per part dels Estats.
Tendències de Seguretat T1 2018 – CESICAT | 8
HA ESTAT NOTÍCIA
L'escàndol que ha sorgit els darrers dies del trimestre sobre la utilització indeguda de les dades d'usuaris de Facebook ha obert de nou la discussió sobre la privacitat: veiem com les dades personals són utilitzades amb finalitats no consentides per les persones afectades.
En el cas de Facebook, es tracta d'una recopilació d'informació no consentida de gairebé 87 milions d’usuaris1, amb l’objectiu de crear perfils per influir en les seves decisions: en concret, per ajudar a guanyar les eleccions a Donald Trump l'any 20162.
El mecanisme era força senzill: mitjançant un qüestionari (anomenat ThisIsMyDigitalLife) es demanava a l’usuari que donés un perfil de la seva personalitat. Fins aquí, tot correcte, atès que es demanava el consentiment a la persona per accedir al seu perfil de Facebook. El
1 https://www.xataka.com/privacidad/facebook-eleva-la-cifra-a-87-millones-de-afectados-por-cambridge-analytica-mientras-admiten-que- tambien-leen-nuestros-mensajes 2 https://www.xataka.com/privacidad/el-escandalo-de-cambridge-analytica-resume-todo-lo-que-esta-terriblemente-mal-con-facebook
Tendències de Seguretat T1 2018 – CESICAT | 9
problema venia quan també se sol·licitava permís per accedir a la informació dels contactes (que no n’eren conscients, és clar) i, per tant, no havien donat el seu consentiment. Tot va començar amb una campanya de publicitat que convidava a omplir el qüestionari, la qual va permetre l’accés directe a uns 350.000 perfils. Com que aquests havien donat consentiment per accedir a la informació publicada dels seus contactes, es va arribar fins als 87 milions d'usuaris, molts dels quals ciutadans europeus. Amb les dades recopilades dels perfils, es treballava en un pla que tenia com a objectiu dirigir l’opinió de milions de persones.
Aquest pla contemplava crear un entorn personalitzat per a cada perfil basat en l’enviament de rumors, notícies falses i desinformació per aconseguir influir sobre l’opinió.
Un cop vist això, ja no es pot parlar de fuita d'informació, sinó que més aviat es tracta d'una recol·lecció fraudulenta de dades personals. Per tant, l’objectiu que es perseguia era il·legal. Facebook, en aquest cas, no va protegir les dades d'aquells que no van donar el consentiment d'accés als seus perfils.
Recordem que no és la primera vegada que Facebook està involucrada en afers que afecten la privacitat. De fet, l'any passat, la mateixa Agencia Española de Protección de Datos, va multar Facebook per recol·lectar, emmagatzemar i usar dades amb finalitats publicitàries, sense recollir el consentiment de manera inequívoca per part dels seus usuaris. Les dades podien ser d'ideologia, preferències sexuals, creences religioses (dades que la legislació qualifica com a especialment sensibles), gustos personals o dades de navegació3.
Hem de ser conscients que les dades personals tenen importància i la publicació a les xarxes té un cost
3 http://www.rtve.es/noticias/20170911/agencia-espanola-proteccion-datos-multa-facebook-12-millones-usar-datos-sin-permiso/1612402.shtml
Tendències de Seguretat T1 2018 – CESICAT | 10
En definitiva, hem de ser conscients que les dades personals tenen L’RGPD és el Reglament importància i la publicació a les xarxes té un cost. Quan interactuem a europeu d’obligat compliment les xarxes socials, o a Internet en general, el nostre rastre digital pot a partir del 25 de maig de 2018 que, a Espanya, ser utilitzat per tercers per fer negoci, amb la creació de bases de substitueix la Llei Orgànica de dades utilitzades per planificar campanyes publicitàries de tot tipus o Protecció de Dades (LOPD). per revendre-les a empreses d'anàlisi de comportament, que les Aquest reglament estableix analitzen i se’n deriven accions per influir en les nostres decisions. canvis importants en relació a la normativa precedent. Per Amb l’objectiu de protegir la privacitat de les nostres dades personals, exemple, la responsabilitat veiem com la ciberseguretat pren rellevància, per sobre dels habituals proactiva de l’encarregat de tractar les dades i controls de compliment prefixats. La nova Reglamentació General de l’enfocament de la seguretat Protecció de Dades (RGPD) és un intent de potenciar la privacitat i orientada al risc. protegir el dret de les persones a través de l’aplicació d’eines de
ciberseguretat específiques i adequades a cada context.
El fet és que, amb l'exemple de Facebook, veiem clarament com la privacitat requereix alguna cosa més que disposar de mesures per protegir alguns aspectes de la nostra vida privada: també necessita la responsabilitat del qui tracta les dades per implementar controls de seguretat pertinents i eficaços. Altrament, poden coordinar-se mecanismes per influir en la nostra manera de pensar i actuar.
Tendències de Seguretat T1 2018 – CESICAT | 11
TENDÈNCIES
CRIPTOMONEDES
Si hi ha una temàtica que ha estat tendència durant els darrers mesos i que preveiem que continuarà, és tot allò relacionat amb les criptomonedes, des de la mineria, el robatori o les intencions dels Estats d’aplicar-hi regulacions.
Mineria
L’increment dels atacs per a la realització de mineria de criptomonedes ha crescut exponencialment en els darrers mesos. Aquests atacs reben el nom de cryptojacking, i consisteixen a fer ús del dispositiu de la víctima, sense el seu coneixement, per a minar criptomonedes. Aquest fet provoca no només un alentiment del sistema del dispositiu, sinó que pot, fins i tot, comprometre les dades que emmagatzemi.
Per tal de fer-nos una idea del creixement que suposa l’aparició d’scripts o programari descarregable de pàgines web amb malware de mineria, s’apunta a un increment del 725% entre els mesos de setembre de 2017 i gener de 20184. Aquesta proliferació fins i tot La mineria de criptomonedes o criptomineria és el procés de genera que els propis malwares de cryptojacking s’ataquin entre ells validació de les transaccions per obtenir el control exclusiu de xarxes de dispositius infectats fetes amb criptomonedes fent anteriorment per altres, de manera que abans d’instal·lar-se esborren ús dels recursos computacionals d’un dispositiu els “adversaris” dels sistema. determinat. Aquest dispositiu, que en aquestes funcions rep Al capdavant trobem CoinHive com a malware més utilitzat per a la el nom de miner, obté una mineria de criptomonedes i que, segons el fabricant d’antivirus recompensa en criptomonedes Checkpoint, un 23% de les empreses del món s’han vist afectades per que pot variar segons la 5 moneda i la transacció. aquesta amenaça . Constantment, però, van apareixent nous malwares i estratègies de cryptojacking, entre els quals destaquen: el
4 https://www.cyren.com/blog/articles/increase-in-cryptocurrency-mining-threatens-more-than-just-your-cpu 5 https://www.checkpoint.com/press/2018/januarys-wanted-malware-cryptomining-malware-continues-drain-enterprise-cpu-power-say-check- point/
Tendències de Seguretat T1 2018 – CESICAT | 12
Wannamine (variant del famós Wannacry) i el Smominru6, que Un exploit és una eina de programari dissenyada per utilitzen l’exploit EternalBlue per propagar-se, l’aprofitament de aprofitar una vulnerabilitat o vulnerabilitats com les existents a Oracle WebLogic, la publicitat web error i aconseguir el maliciosa o les aplicacions falses. comportament no desitjat d’un dispositiu per part del Aquest increment en la dedicació d’esforços dels ciberatacants dirigits seu propietari. a la mineria de criptomonedes està motivat per la compensació econòmica que s’aconsegueix d’una forma molt directa. Com a cas destacable per la magnitud del benefici, trobem que, durant el mes de febrer, un grup de hackers va segrestar un miler de servidors Jenking i va arribar a minar 3 milions de dòlars en Monero7.
Aquest increment en la dedicació d’esforços dels ciberatacants dirigits a la mineria de criptomonedes està motivat per la compensació econòmica que s’aconsegueix d’una forma molt directa
Sigui com sigui, la realitat és que la mineria de criptomonedes és un fenomen global i afecta sectors molt diversos:
Governs: webs oficials dels governs del Regne Unit, els Estats Units o Austràlia han estat infectades amb un criptominer que forçava els visitants a minar Monero8. Hospitals: un hospital de Tennessee, als Estat Units, ha estat el primer afectat per la criptomineria a través d’un dispositiu de recollida de dades. Amb la infecció, les dades de 24.000 pacients es poden haver vist compromeses9. Serveis públics: es troba la primera infraestructura crítica, en els sistemes de monitorització d’una planta de tractament d’aigua, segrestada per fer mineria de Monero, amb la conseqüent reducció del control i l’alentiment dels processos físics10.
6 https://www.siliconrepublic.com/enterprise/wannamine-smominru-botnets-cryptocurrency 7 https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/ 8 https://www.cso.com.au/article/633287/thousands-sites-using-same-accessibility-tool-serve-up-cryptocurrency-miner/ 9 https://www.darkreading.com/attacks-breaches/tennessee-hospital-hit-with-cryptocurrency-mining-malware/d/d-id/1331014? 10 https://www.securityweek.com/cryptocurrency-mining-malware-hits-monitoring-systems-european-water-utility
Tendències de Seguretat T1 2018 – CESICAT | 13
Empreses: la web de L.A. Times11, a través de CoinHive, o el La GPU (Graphics Processing mateix cloud de Tesla12, sense especificar quin tipus d’atac, s’han Unit) o tarjeta gràfica és el vist afectats per la mineria. hardware d’un ordinador encarregat de procesar gràfics Investigacions: la producció massiva de xips GPU específics per a però que té molt interés per a fer mineria de bitcoin o ethereum afecta altres sectors, com la la minería a causa del seu alt investigació per curar el càncer o la recerca de senyals rendiment, la capacitat d’operació en paral·lel i la extraterrestres, atès que la indústria de circuïts integrats és possibilitat d’unir-ne diverses incapaç de cobrir la demanda que aquests mercats requereixen13. en un mateix ordinador. Dispositius IoT: comença una tendència de minar a través de dispositius IoT, des d’Smart TV fins a torradores. També ha aparegut una nova variant de Mirai: la botnet OMG, que converteix dispositius IoT en servidors proxy per fer mineria14.
Monero és la criptomoneda més minada pels cibercriminals, principalment per tres motius:
Anonimat: a diferència d’altres criptomonedes, l’usuari decideix si exposar les seves dades a l’hora de realitzar transaccions, la qual cosa en dificulta el rastreig. Transaccions més ràpides: els blocs de la cadena blockchain no tenen mida fixa i, per aquest motiu, les transaccions curtes poden ser més ràpides, ja que no s’han d’esperar que un bloc s’ompli de transaccions. . Tecnologia: la menor computació necessària en el minat no afavoreix l'ús de circuits integrats específics, sinó que qualsevol dispositiu és adequat. Aquesta possibilitat de fer mineria productiva des de qualsevol CPU ha motivat l’increment de cryptojacking en navegadors o dispositius IoT.
Monero és la criptomoneda ideal pels cibercriminals ja que permet transaccions sense que ningú pugui fer-ne seguiment i es pot fer mineria productiva des de qualsevol dispositiu
11 https://www.infosecurity-magazine.com/news/la-times-hit-with-cryptomining 12 https://nakedsecurity.sophos.com/2018/02/22/tesla-cryptojacked-by-currency-miners/ 13 http://www.lavanguardia.com/tecnologia/20180216/44803920818/bitcoin-cancer-aliens.html 14 https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html
Tendències de Seguretat T1 2018 – CESICAT | 14
Robatori
D’altra banda, el robatori de criptomonedes també s’incrementa com Un atac DNS va dirigit al a conseqüència de l’alt valor en el mercat. S’han pogut observar Sistema de Noms de Domini, el diferents tipus d’atac com, per exemple, campanyes de phishing fent- qual té com a funció la se passar per persones famoses i sol·licitant donacions per causes traducció del domini web a 15 l’adreça IP que correspongui, solidàries , hackers dedicats a robar criptomonedes a cibercriminals amb l’objectiu de redirigir les del ransomware16 o robatoris mitjançant atacs de DNS (Domain Name connexions cap a un lloc System)17. fraudulent específic (p. ex. redirigir les transaccions monetàries cap a un servidor Els robatoris de criptomonedes més massius detectats en aquest
determinat). primer trimestre de l’any han estat diversos casos en plataformes de canvi com CoinCheck, a la qual es va robar l’equivalent a 500 milions de dòlars18, els 150-170 milions de dòlars a BitGrail19 i els 400.000 dòlars a BlackWallet20.
15 http://www.ibtimes.co.uk/crypto-scammers-pose-john-mcafee-elon-musk-twitter-steal-bitcoin-1660166 16 http://www.ibtimes.co.uk/no-honour-among-thieves-hackers-using-tor-proxy-site-steal-ransomware-operators-bitcoins-1657190 17 https://www.criptonoticias.com/sucesos/hackers-robaron-400-mil-dolares-xlm-directamente-plataforma-blackwallet/ 18 https://www.xataka.com/criptomonedas/coincheck-detiene-operaciones-de-retirada-de-criptodivisas-y-los-usuarios-estan-empezando-a-temer-lo-peor 19 https://www.scmagazineuk.com/crypto-exchange-bitgrail-and-token-developer-nano-in-coin-theft-dispute/article/743926/ 20 https://www.criptonoticias.com/sucesos/hackers-robaron-400-mil-dolares-xlm-directamente-plataforma-blackwallet/
Tendències de Seguretat T1 2018 – CESICAT | 15
Regulació
Tenint en compte l’efecte que les criptomonedes estan causant, i el que podrien arribar a causar, sobre l’economia mundial, diversos Estats com Canadà, la Xina, els Estats Units o Corea del Sud ja han començat a aplicar regulacions al respecte, i molts d’altres es plantegen fer-ho en breu. De fet, durant la pròxima cimera del G20, a petició de França i Alemanya, aquest és un dels temes a tractar21. La incertesa produïda per les noves regulacions de les criptomonedes ha provocat fluctuacions de fins al 50% del seu valor.
Pel que fa a l’estat espanyol, es realitzarà un estudi de les tendències i efectes de l’emissió de criptomonedes, així com les mesures de regulació que estan adoptant altres països22. D’entrada, Hisenda ha requerit informació sobre les operacions amb bitcoins dutes a terme per diverses plataformes de canvi, bancs i empreses23.
A banda de les regulacions per part dels Estats, també s’estan produint accions en diferents sectors
A banda de les regulacions per part dels Estats, també s’estan produint accions en diferents sectors com, per exemple, la prohibició d’anuncis de criptomonedes a Facebook, Google i Twitter; empreses que han descartat els pagaments en bitcoins com Steam, Microsoft i la plataforma Stripe, o companyies d’assegurances que ofereixen cobertura sobre els dipòsits de criptomoneda.
21 https://www.forbes.com.mx/francia-y-alemania-piden-llaman-a-una-accion-conjunta-del-g-20-sobre-criptomonedas/ 22 https://www.criptonoticias.com/regulacion/senado-espanol-estudiara-medidas-regulatorias-criptomonedas-otros-paises/ 23 https://elpais.com/economia/2018/04/05/actualidad/1522925585_848445.html
Tendències de Seguretat T1 2018 – CESICAT | 16
SECTOR SANITARI
Els hospitals i centres de salut reben atacs informàtics de forma contínua i diàriament apareixen incidents al respecte. Aquests atacs utilitzen diferents tècniques, però només tenen un objectiu: obtenir beneficis econòmics.
Alguns ciberdelinqüents busquen robar dades dels pacients, ja que, en el mercat negre, són molt apreciades i la valoració varia segons el tipus d’informació i la grandària de la base de dades24. Altres atacs persegueixen una infecció amb ransomware i la corresponent exigència d’una compensació econòmica per alliberar les dades. En definitiva, el robatori i l’extorsió són els atacs més freqüents que hem observat en aquests tres primers mesos de l’any 2018 sobre el sector sanitari.
Incidents
Durant el mes de gener, el Helse CERT (Centre Nacional de Seguretat de la Informació del Sector Sanitari de Noruega) anunciava a l’autoritat regional Health South-East l’accés no controlat a gairebé 3 milions de dades de pacients. No s’han determinat les conseqüències que pot haver tingut, ni el tipus de malware utilitzat, però possiblement és l’atac més voluminós en el sector sanitari25.
La informació que han pogut intervenir els atacants és considerada sensible i ha pogut ser utilitzada en espionatge cibernètic, ja que els registres de salut també contenien dades de persones que treballen en el govern, serveis secrets, personal militar, d’intel·ligència política i altres personatges públics26.
Un altre atac, també durant el mes de gener, va ser a un servidor del St. Peter’s Surgery and Endoscopy Center, a Nova York, a partir d’un malware del qual els responsables del centre tampoc han donat
24 http://www.ticbeat.com/salud/cuanto-valen-nuestros-datos-sanitarios-en-el-mercado-negro/ 25 https://www.helpnetsecurity.com/2018/01/18/norwegian-health-authority-hacked/ 26 https://www.theinquirer.net/inquirer/news/3024692/norway-health-south-east-rhf-hacked
Tendències de Seguretat T1 2018 – CESICAT | 17
detalls. L’atac va afectar gairebé 135.000 pacients, incloent-hi noms, El ransomware és un tipus de adreces, dades de naixement, expedients mèdics, dades del servei, programari maliciós que, una diagnòstics, procediments i informació de l’assegurança. El malware vegada ha infectat un equip, permet bloquejar-lo i/o xifrar va ser detectat el mateix dia, però els pacients no van ser avisats fins els arxius en memòria. a final de febrer, gairebé dos mesos després27. L’objectiu de l’atacant és demanar un rescat a canvi de També tenim l’atac al Hancock Health, un hospital regional d’Indiana, la clau de desxifrat dels arxius, als Estats Units, que va ser extorsionat en un atac amb el ransomware imprescindible per a la seva recuperació. Sam Sam (que xifrava els fitxers i en canviava el nom per un “I’m sorry”), i que finalment va pagar 55.000 dòlars pel rescat de les dades. En aquest cas, els hackers van accedir al sistema a través d’un portal remot utilitzant l’usuari i la contrasenya d’un proveïdor28.
Pel que fa als atacs de phishing, també als Estats Units hi ha hagut el cas de Florida, on ha quedat exposada la informació de 30.000 pacients del centre Medicaid29, i el de Buffalo, amb les dades exposades de 53.000 pacients del centre Onco36030.
Com a fet puntual cal mencionar que un hospital de Tennessee va ser, el mes de febrer, el primer en ser atacat per a la mineria de criptomonedes. Les investigacions realitzades semblen indicar que les dades dels 24.000 pacients que contenia el servidor no van quedar compromeses, encara que l’hospital no ha pogut demostrar-ho31.
El 58% dels atacs al sector sanitari són realitzats per actors interns
Finalment, destaquem un estudi de Verizon, el més gran operador de telefonia mòbil als Estats Units. En aquest informe, anomenat “Protected Health Information Data Breach Report”, Verizon aporta una dada realment significativa: el 58% dels atacs al sector sanitari són realitzats per actors interns32.
27 http://www.healthcareitnews.com/news/malware-attack-causes-breach-134512-patient-records 28 https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/samsam-ransomware-hits-us-hospital-management-pays-55k-ransom 29 https://www.engadget.com/2018/01/07/florida-phishing-attack-exposes-data-for-30-000-medicaid-recipie/ 30 http://www.healthcareitnews.com/news/53000-patient-records-breached-after-phishing-hack-onco360-caremed 31 https://www.darkreading.com/attacks-breaches/tennessee-hospital-hit-with-cryptocurrency-mining-malware/d/d-id/1331014 32 http://www.verizonenterprise.com/resources/protected_health_information_data_breach_report_en_xg.pdf
Tendències de Seguretat T1 2018 – CESICAT | 18
POLÍTIQUES I XARXES SOCIALS
La repercussió potencial de les xarxes socials provoca que siguin un medi de gran impacte i que, tant la necessitat d’autenticitat com les mesures de seguretat per garantir la privacitat, cada vegada prenguin més protagonisme.
Autenticitat
En els darrers mesos s’han detectat moviments per part de les pròpies xarxes i dels governs per controlar les notícies falses (o fake news) que afecten tots els sectors de la societat.
D’una banda, aquestes notícies falses pretenen influir sobre aspectes relacionats amb la política, marques comercials, personatges, etc. D’altra banda, també s’ha de tenir en compte l’interès econòmic que hi ha darrere les notícies falses, que utilitzen la creació d’expectatives per provocar una major interacció i, per exemple, obtenir un gran nombre de clics que es tradueixen en ingressos més grans per publicitat33 i 34. En aquest sentit, segons un estudi del MIT, les notícies falses es retuiten un 70% més que les vertaderes35. Així doncs, l’interès d’influir políticament, difamar la competència i, pels més espavilats, fer calaix, ha obligat tant les pròpies xarxes socials com els governs a intervenir.
L’interès d’influir políticament, difamar la competència i, pels més espavilats, fer calaix, ha obligat tant les pròpies xarxes socials com els governs a intervenir
33 http://www.perfil.com/tecnologia/fake-news-el-cancer-de-la-web-gestado-por-google-y-facebook.phtml 34 http://www.bbc.com/mundo/noticias-37910450 35 http://www.publico.es/sociedad/fake-news-noticias-falsas-retuitean-70-probabilidades-verdaderas.html
Tendències de Seguretat T1 2018 – CESICAT | 19
Pel que fa a les mesures aplicades per algunes de les principals xarxes, cal destacar que: Facebook ha introduït algoritmes que milloren la identificació de les notícies més fiables36; Google va eliminar 3.200 milions d’anuncis que redirigien a webs amb mala reputació durant l’any 201737, i Twitter s’ha afegit a aquesta lluita tot impedint la publicació en massa de tuits duplicats. D’aquesta manera ha evitat que es repeteixi el mateix tuit des del mateix compte o des de diferents copiant i enganxant el mateix contingut, en comptes de fer retuit38.
Totes aquestes mesures, necessàries per a crear confiança, preocupen pel fet que es poden utilitzar per retallar el dret a la informació i a l’opinió
Pel que fa a la intervenció governamental, destaquen les iniciatives de la Unió Europea de crear una comissió per lluitar contra les notícies falses, la qual ja ha formulat una sèrie de recomanacions39. En el cas concret d’Alemanya, la llei NetzDG (Netzwerkdurchsetzungsgesetz, o Llei d’Aplicació de Xarxa)40 es troba en funcionament des de gener de 2018 i obliga els grans actors d’Internet a retirar una notícia falsa o que vulneri els drets de les persones en menys de 24 hores41. Altres països com França, el Regne Unit, Irlanda, Itàlia i Espanya estan analitzant mesures contra aquestes pràctiques, especialment en relació a processos polítics, però intentant no coartar la llibertat d’expressió42. Totes aquestes mesures, necessàries per crear confiança, preocupen pel fet que es poden utilitzar per retallar el dret a la informació i a l’opinió si els governs les utilitzen per silenciar moviments opositors.
36 https://www.independent.co.uk/news/business/facebook-newsfeed-fake-news-media-surveys-a8169436.html 37 https://www.engadget.com/2018/03/15/google-pulled-over-3-billion-bad-ads-in-2017/ 38 https://www.theverge.com/2018/2/21/17036708/twitter-automation-rule-changes-ban-bulk-tweeting-bot-crackdown-election 39 https://ec.europa.eu/spain/barcelona/news/la-comissi%C3%B3-europea-lluita-contra-les-fake-news_ca 40 https://www.gesetze-im-internet.de/netzdg/BJNR335210017.html 41 https://www.xataka.com/legislacion-y-derechos/desde-etiquetas-especiales-hasta-multas-de-50-millone 42 http://www.diaridegirona.cat/opinio/2018/01/31/governs-contra-fake-news-necessitat/893212.html
Tendències de Seguretat T1 2018 – CESICAT | 20
Si bé és cert que els governs intenten lluitar contra les notícies falses, també cal destacar que en alguns casos ells mateixos en són generadors per combatre enemics polítics i Estats rivals.
El que és segur és que aquestes notícies poden tenir molta força. Com a exemple paradigmàtic, les anteriors eleccions a la presidència dels Estats Units: en el següent gràfic es pot observar com, a Facebook, les notícies falses relacionades amb les eleccions van ser superiors a les reals43:
43 https://marketingaholic.com/noticias-falsas-facebook-superan-noticias-reales/3028/
Tendències de Seguretat T1 2018 – CESICAT | 21
Privacitat
Un altre aspecte que s’ha tractat durant el primer trimestre d’aquest any 2018 i que afecta les xarxes socials és el de la privacitat. En aquest sentit, la regulació europea va en la direcció de protegir aquests drets i ja tenim notícies on es fa menció de sancions a Facebook i WhatsApp per creuar dades dels seus usuaris sense consentiment. En total han estat 300.000 euros a cadascú44.
Facebook també ha anunciat la creació d’un centre de privacitat tenint en compte la implantació de la nova regulació de privacitat europea (Reglament General de Protecció de Dades o RGPD) que obliga totes les empreses que operen amb ciutadans europeus a utilitzar la informació personal de manera segura45.
La ciberseguretat està esdevenint un element clau per intentar protegir la privacitat de les dades personals i com les xarxes socials s’estan movent per complir amb les mesures de seguretat que les regulacions imposen
Per tant, en aquest començament d’any, observem com la ciberseguretat esdevé un element clau per intentar protegir la privacitat de les dades personals, i com les xarxes socials es mouen per complir amb les mesures de seguretat que les regulacions imposen.
44 https://www.xataka.com/privacidad/la-aepd-multa-a-whatsapp-y-facebook-con-600-000-euros-por-cruzar-datos-sin-permiso-poco-o-mucho 45 https://nakedsecurity.sophos.com/2018/01/25/facebook-to-give-you-more-control-over-your-data/
Tendències de Seguretat T1 2018 – CESICAT | 22
SEGURETAT EN EL DISSENY
En els darrers mesos hem vist com els ciberdelinqüents s'han aprofitat de vulnerabilitats originades per un disseny poc segur del maquinari i/o programari. El fet és que és imprescindible introduir la seguretat des de l'inici del disseny del producte, i tenir-ho en compte en tot el seu cicle de vida. Tanmateix, diversos motius hi juguen en contra: des de la urgència per la posada en el mercat del producte (time-to-market), passant per la manca de potència del programari que pugui sostenir eines de seguretat addicionals, fins a la voluntat de no incrementar els costos de disseny.
És una realitat que les praxis que no tenen en compte la ciberseguretat han estat una tendència per part dels fabricants
És una realitat que les praxis que no tenen en compte la ciberseguretat han estat una tendència per part dels fabricants en els darrers anys (s’identifiquen vulnerabilitats d’aquesta naturalesa amb una antiguitat de fins a 20 anys). Ara bé, tampoc s’espera que la solució sigui immediata, com indica un informe de Trend Micro46, en el qual es pronostica “un augment de les vulnerabilitats en la Internet de les Coses (IoT) a mesura que es fabriquen més dispositius sense seguir les normes de seguretat o els estàndards de la indústria”.
Sigui com sigui, com a conseqüència de la quantitat d'incidents, cada vegada més s’estén el concepte del disseny segur. Així doncs, esperem estar més a prop de concebre la seguretat des de l'inici i deixar enrere el concepte “prova/error” per millorar els productes.
En aquest moment, amb el gran ressò de les vulnerabilitats Meltdown i Spectre, tenim un exemple clar que la manca de seguretat en el disseny continua tenint efectes molt actuals.
46 http://haycanal.com/noticias/11366/en-2018-los-ciberataques-dependeran-de-las-vulnerabilidades
Tendències de Seguretat T1 2018 – CESICAT | 23
Meltdown i Spectre
L’any 2018 es va iniciar amb una notícia inquietant sobre seguretat que afectava els processadors INTEL, AMD i ARM. Apareixien les vulnerabilitats Meltdown i Spectre, que afecten el propi disseny dels processadors, tot remuntant-se fins a aquells fabricats 19 anys enrere. Per tant, afecta tant a ordinadors com a smartphones, ja que els processadors ARM són utilitzats en la majoria d’aquests dispositius.
Però, com afecten la seguretat aquestes vulnerabilitats? Meltdown permet accedir a la memòria protegida del nucli dels sistemes operatius, i trenca l’aïllament entre aplicacions i sistema operatiu. Pel que fa a Spectre, permet accedir a les dades mentre el processador intenta iniciar un procés especulatiu que decideix la següent ordre a Un pegat és una peça de executar47. software que s’afegeix a un programa per actualitzar-lo La bona noticia és que, a hores d’ara, no hi ha coneixement que amb l’objectiu de solucionar aquestes vulnerabilitats hagin estat explotades i s’estan instal·lant vulnerabilitats, errors o millorar les seves prestacions. els pegats pertinents, tot i que val a dir que al principi van generar problemes.
47 https://www.cnet.com/es/noticias/que-es-spectre-y-meltdown-intel-amd-arm/
Tendències de Seguretat T1 2018 – CESICAT | 24
APPLE
Durant aquest trimestre, hem observat com Apple ha estat implicat en diferents incidents i polèmiques. Això demostra que, fins i tot un dels sistemes considerats més estables i segurs, també és vulnerable.
A més, Apple ha patit la filtració de codi font més gran de la seva història, la qual cosa podria comportar conseqüències en el futur amb la descoberta de noves vulnerabilitats48.
Això demostra que, fins i tot un dels sistemes considerats més estables i segurs, també és vulnerable
Vulnerabilitats
Entre les vulnerabilitats detectades, en trobem dues que han estat aprofitades per a la realització d’atacs de denegació de servei. El primer cas fa referència a un atac a partir d’un missatge que, en rebre’l a través de l’aplicació de missatgeria del sistema iMessage, produïa una descàrrega tan gran d’informació que bloquejava el terminal49. El segon cas es tractava d’un caràcter indi que, en escriure o rebre’l en determinades aplicacions d’ús habitual (WhatsApp, Instagram, Facebook Messenger o Gmail) en provocava el bloqueig i inhabilitava l’ús del dispositiu.50
Pel que fa a les vulnerabilitats que afecten el sistema operatiu MacOS, se n’ha descobert una amb més de 15 anys d’antiguitat que permet, a qualsevol usuari no administrador, aconseguir privilegis per executar
48 https://www.securityweek.com/source-code-ios-security-component-iboot-posted-github 49 https://www.grahamcluley.com/chaios-bug-crash-ios-macos-messages/ 50 http://unaaldia.hispasec.com/2018/02/apple-vuelve-sufrir-ataques-por-text.html
Tendències de Seguretat T1 2018 – CESICAT | 25
codi maliciós o realitzar accions més enllà de les que li són permeses51. Seguint amb el sistema operatiu MacOS, també hem pogut observar com el malware ColdRood aprofitava una vulnerabilitat que permetia l’enregistrament del teclat. El ColdRoot era indetectable per la majoria d’antivirus, tot i que el codi font de versions anteriors del malware es trobava disponible a Github des de feia gairebé dos anys52.
Una altra vulnerabilitat detectada durant aquest període afectava l’AppStore, i permetia l’accés a les preferències sense la necessitat d’introduir cap contrasenya53.
Xifrat dels iPhone
Ja fa temps que, als Estats Units, l’FBI ha sol·licitat en reiterades ocasions suport a Apple per al desxifrat dels seus dispositius. Davant L’algoritme de xifrat és un conjunt d’operacions que la negativa d’Apple a col·laborar (per protegir la privacitat dels seus permeten transformar un usuaris), durant el mes de gener l’FBI va difondre missatges de missatge de tal manera que pressió a través dels mitjans de comunicació54. Segons alguns sigui incomprensible o, com a mínim, difícil de comprendre informes, l’FBI no havia pogut accedir a més de 7.000 dispositius els sense la clau secreta de quals tenia interès a investigar55. l’algoritme.
Els algorismes de xifrat ajuden A final de febrer, Cellebrite, una empresa contractada pel govern dels a protegir la confidencialitat i Estats Units, va anunciar que podia desxifrar Iphones en les versions la integritat de la informació i des de iOS5 fins a iOS1156. Posteriorment, l’empresa Grayshift a evitar que es perpetri frau de anunciava que també podia desbloquejar els dispositius Iphone fins a dades. les darreres versions57.
51 https://www.redeszone.net/2018/01/02/vulnerabilidad-15-anos-macos/ 52 https://tecnonucleous.com/2018/02/27/coldroot-el-nuevo-malware-para-mac-que-realiza-silenciosamente-un-registro-de-teclas-en-todo-el-sistema/ 53 https://www.securityweek.com/bogus-passwords-can-unlock-appstore-preferences-macos 54 https://threatpost.com/fbi-director-calls-smartphone-encryption-an-urgent-public-safety-issue/129382/ 55 https://www.bankinfosecurity.com/fbi-encryption-blocked-access-to-7800-devices-a-10569 56 https://thehackernews.com/2018/02/unlock-iphone-software.html 57 https://nakedsecurity.sophos.com/2018/03/07/second-company-claims-it-can-unlock-iphone-x/
Tendències de Seguretat T1 2018 – CESICAT | 26
CIBERAMENACES DETECTADES
A continuació, mostrem l’evolució de les deu amenaces més importants del primer trimestre del 2018 i en destaquem els esdeveniments més representatius.
TENDÈNCIES 1T 2018 Top 10 Amenaces58 1 Compromís d’informació 2 Difusió de programari maliciós 3 Accés lògic no autoritzat 4 Frau econòmic 5 Execució de codi arbitrari 6 Suplantació d’identitat 7 Informació / programari corrupte 8 Denegació de serveis intencionat 9 Sabotatge 10 Ús indegut de recursos
Taula 1 – Tendències detectades durant el 1r trimestre del 2018
1. COMPROMÍS D’INFORMACIÓ
L’amenaça de compromís d’informació inclou la publicació d’informació o credencials d’accés als sistemes d’informació i ha estat l’amenaça principal del trimestre. Habitualment, encapçala les posicions de rellevància, ja que moltes altres amenaces també impliquen que la informació pugui quedar compromesa.
El cas més destacable del trimestre ha estat el de Facebook. Tal i com expliquem a l’apartat “Ha estat notícia”, es van obtenir dades dels perfils d’aproximadament 87 milions d’usuaris, sense consentiment, amb la intenció d’utilitzar-les per dissenyar una campanya que influís en la decisió de vot dels afectats.
58 Catàleg d’amenaces del CESICAT
Tendències de Seguretat T1 2018 – CESICAT | 27
Per la seva magnitud, cal destacar la fuita de 150 milions de comptes d’usuaris de l’aplicació de control d’activitat física MyFitnessPal, mitjançant la qual uns hackers van obtenir noms d’usuari, correus electrònics i passwords xifrats59. És similar el cas de d’Orbitz, companyia que va informar d’evidències que un hacker havia accedit a la seva plataforma, amb l’exposició de les dades de 880.000 targetes de crèdit amb la corresponent informació personal i de facturació.60 De manera similar s’ha detectat en la filtració de dades de més de 119.000 usuaris de FedEx, a causa de l’exposició de la base de dades La fuita de dades és d’Amazon Web Services61. l’exposició no autoritzada de la informació classificada d’un Tal i com s’ha destacat en l’apartat ordinador, servidor o base de Clarament el cas més dades. Aquesta fuita es pot de “Tendències” d’aquest informe, donar de manera intencionada el sector sanitari s’ha vist rellevant ha estat o per accident, i pot implicar especialment afectat en diferents l’obtenció de dades de greus conseqüències per a l’organització. casos: a Florida, a partir d’un atac de perfil de 87M d’usuaris phishing, quedaven exposades les Figuren entre els tipus de fuita de Facebook sensibles per qualsevol dades de 30.000 usuaris del centre organització: dades de mèdic Medicaid62; al centre nacional propietat intel·lectual, de seguretat Helse CERT de Noruega es van exposar dades de gairebé financeres, informació de 63 clients, dades de targetes de 3 milions de pacients a partir d’un hackeig dels sistemes i, a l’hospital crèdit... St. Peter’s Surgery and Endoscopy Center de Nova York, quedaven exposades les dades de 135.000 pacients64. El jailbreak o desbloqueig és la modificació del sistema Altres sectors també han patit aquest tipus d’incidents, com és el cas d'explotació d'un aparell del Departament de Seguretat Nacional dels Estats Units, on es va electrònic per a accedir a 65 funcions i a programes en produir una fuita de dades de més de 240.000 empleats , o l’atac teoria inaccessibles a causa de realitzat pel grup de hackers Fancy Bear, vinculat a la fuita de correus les restriccions implementades electrònics i documents que posaven en evidència la transparència de pel fabricant. controls antidopatge durant els Jocs Olímpics d’hivern66.
59 https://www.securityweek.com/under-armour-says-150-million-affected-data- breach?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%253A+Securityweek+%2528SecurityWeek+RSS+Feed%2529 60 https://es.digitaltrends.com/tendencias/hack-orbitz-vuelos/ 61 https://www.scmagazine.com/open-aws-s3-bucket-exposes-private-info-on-thousands-of-fedex-customers/article/744812/ 62 https://www.engadget.com/2018/01/07/florida-phishing-attack-exposes-data-for-30-000-medicaid-recipie/ 63 https://www.helpnetsecurity.com/2018/01/18/norwegian-health-authority-hacked/ 64 http://www.healthcareitnews.com/news/malware-attack-causes-breach-134512-patient-records 65 https://www.bleepingcomputer.com/news/security/department-of-homeland-security-suffers-data-breach/ 66 http://www.ibtimes.co.uk/fancy-bear-russia-linked-hackers-leak-stolen-emails-documents-international-luge-federation-1656567
Tendències de Seguretat T1 2018 – CESICAT | 28
Apple no n’ha estat una excepció i ha patit la filtració de codi font més gran de la seva història, la qual cosa ha fet que els hackers l’utilitzin per cercar vulnerabilitats en el sistema operatiu i desenvolupar nous mètodes de Jailbreak.67
2. DIFUSIÓ DE PROGRAMARI MALICIÓS
L’amenaça recull qualsevol enviament intencionat o no intencionat de programari maliciós a través dels sistemes d’informació. Es tracta d’una de les amenaces més rellevants, ja que engloba tots els mitjans pels quals els ciberdelinqüents propaguen malware.
En aquest primer trimestre del El nombre d’empreses 2018, destaquem que ha augmentat de manera molt afectades per atacs de important la difusió de malware de mineria ha incrementat mineria de criptomonedes, i s’ha un 27% respecte l’any convertit en la primera posició en anterior l’apartat d’amenaces de difusió de programari maliciós. Segons el fabricant d’antimalware Malwarebytes, les empreses afectades han incrementat en un 27% respecte de l’any anterior i els atacs relacionats amb Android (el sistema operatiu de la majoria d’smartphones) han crescut un 4.000%. El món d’Apple tampoc s’escapa d’aquesta tendència, ja que s’han detectat gairebé 1.000 equips Mac infectats68.
En el segon lloc en la difusió de malware trobem el ramsomware, El ransomware que ha baixat un 35% en termes s’especialitza i creix un generals. No obstant això, s’ha 28% en l’entorn incrementat un 28% en l’entorn empresarial empresarial, la qual cosa demostra que aquest tipus d’atacs s’han especialitzat: són més dirigits i el seu impacte és més gran. Un exemple d’això és el darrer cas a la ciutat
67 https://www.securityweek.com/source-code-ios-security-component-iboot-posted-github 68 https://www.malwarebytes.com/pdf/white-papers/CTNT-Q1-2018.pdf
Tendències de Seguretat T1 2018 – CESICAT | 29
americana d’Atlanta, on el ransomware SamSam ha afectat diferents departaments del govern.69
Continuant amb el ransomware, durant aquest trimestre s’han identificat distribucions gratuïtes, a canvi de comissions al desenvolupador en funció dels beneficis obtinguts de les víctimes infectades. Com a exemples tenim el ransomware Saturn70 o un altre identificat per Kaspersky disponible a la dark web71. També s’està La dark web és la xarxa consolidant la venda de kits de generació de ransomware fàcils d’usar accessible mitjançant un programari específic i que, per i accessibles per a persones amb pocs coneixements tècnics, com per les seves característiques exemple: Philadelphia, Stampado, Frozz Locker, i un kit específic per d’anonimat i difícil traçabilitat, atacar mòbils Android. El preu de venta d’aquests kits oscil·la entre els allotja multitud de mercats il·legals o continguts 40 i els 200 €, accessibles, per tant, a moltes butxaques, especialment inadequats. tenint en compte el rendiment econòmic que se’n pot obtenir72.
Sovint el terme deep web Pel que fa al malware de creació de s’utilitza com a sinònim però, Satori és exponencialment en realitat, es refereix a la part botnets, a final de 2017 apareixia de la xarxa no visible per Satori, variant de Mirai, capaç més perillosa que el seu cercadors d'Internet (no d’infectar centenars de milers de predecessor i s’espera indexada). La dark web és un subconjunt de la deep web. dispositius IoT en qüestió d’hores que continuï creixent
gràcies a una gran capacitat de propagació per si mateix. En aquest primer trimestre se segueix
Una botnet és un conjunt o observant que Satori és exponencialment més perillosa que la seva xarxa de robots informàtics predecessora i s’espera que aquesta tendència continuï. Les variants (bots) que s’instal·len als són cada vegada més potents i creatives i, probablement, les botnets dispositius i s'executen de manera autònoma i basades en dispositius IoT continuaran proliferant pel gran nombre de automàtica. Una botnet pot dispositius ja connectats i la facilitat d’infecció73. controlar tots els ordinadors/servidors Durant aquests mesos, també ha tingut repercussió el malware infectats de forma remota i ColdRoot, que ataca equips amb sistema operatiu MacOS. Era poden ser utilitzats per dur a terme activitats criminals. indetectable per a la majoria d’antivirus, tot i que la seva existència es coneix des de fa gairebé dos anys74.
69 https://www.wired.com/story/atlanta-ransomware-samsam-will-strike-again/ 70 https://fossbytes.com/saturn-ransomware-as-a-service-free/ 71 https://securingtomorrow.mcafee.com/mcafee-labs/free-ransomware-available-dark-web 72 http://cso.computerworld.es/social-security/la-dark-web-proporciona-kits-de-ciberataques-desde-40-euros 73 https://fortinetweb.s3.amazonaws.com/fortiguard/research/RootedCon-IoT-Battle-of-the-bots.pdf 74 https://tecnonucleous.com/2018/02/27/coldroot-el-nuevo-malware-para-mac-que-realiza-silenciosamente-un-registro-de-teclas-en-todo-el- sistema/
Tendències de Seguretat T1 2018 – CESICAT | 30
3. ACCÉS LÒGIC NO AUTORITZAT
Fa referència a l’accés no autoritzat als sistemes d’informació sense el consentiment de l’administrador.
Aquesta amenaça és present en molts dels casos descrits prèviament en l’apartat de l’amenaça de “Compromís d’informació”, atès que la informació quedava exposada a partir de l’accés no autoritzat d’un hacker, ja sigui directament o a través d’un malware. Són els casos d’Orbitz75, el centre mèdic Medicaid76; el centre nacional de seguretat Helse CERT de Noruega77 i l’hospital St. Peter’s Surgery and Endoscopy Center de Nova York78.
També s’ha pogut observar la vulnerabilitat de MacOS que, amb més de 15 anys d’antiguitat, permetia accés sense necessitat de tenir permisos d’administrador79. Seguint amb Apple, també s’ha detectat la vulnerabilitat a l’AppStore que permetia l’accés a preferències sense contrasenya80.
Un cas molt curiós i amb gran afectació ha aparegut a la Índia. Uns Per menys de 7 € era investigadors van comprar l’accés a possible obtenir accés a la base de dades personals d’usuaris Aadhaar, el més gran d’Aadhaar, que és el sistema sistema d’identificació d’identificació biomètrica més gran biométrica del món del món (equivalent al nostre DNI), per menys de 7 €. Pel que sembla, els atacants eren persones vinculades als funcionaris i havien desenvolupat originalment la plataforma creant una porta d’enllaç a la base de dades81.
75 https://es.digitaltrends.com/tendencias/hack-orbitz-vuelos/ 76 https://www.engadget.com/2018/01/07/florida-phishing-attack-exposes-data-for-30-000-medicaid-recipie/ 77 https://www.helpnetsecurity.com/2018/01/18/norwegian-health-authority-hacked/ 78 http://www.healthcareitnews.com/news/malware-attack-causes-breach-134512-patient-records 79 https://www.redeszone.net/2018/01/02/vulnerabilidad-15-anos-macos/ 80 https://www.securityweek.com/bogus-passwords-can-unlock-appstore-preferences-macos 81 http://www.ibtimes.co.uk/aadhaar-data-breach-indias-national-id-database-details-1-2-billion-citizens-leaked-1654014
Tendències de Seguretat T1 2018 – CESICAT | 31
4. FRAU ECONÒMIC
En l’amenaça de frau econòmic s’inclouen els atacs que, mitjançant l’engany, busquen aconseguir un benefici econòmic.
El cas més rellevant detectat durant el trimestre ha estat la campanya de S’ha produït una phishing que ha afectat la declaració campanya de phishing d’impostos dels Estats Units. Els als Estats Units cibercriminals robaven informació a coincidint amb la professionals del sector i, un cop campanya de declaració obtingudes les dades dels d’impostos contribuents, iniciaven un atac dirigit contra la víctima, tot argumentant un error en la devolució i demanant el retorn de l’ingrés econòmic82. No hem de perdre de vista que ha començat la campanya de la Renda a l’estat espanyol i la metodologia d’aquesta campanya s’hi podria reproduir.
Exemple de correu phishing obtingut durant la campanya d’Hisenda a Espanya d’enguany
Sense deixar de banda els Estats Units, s’ha donat un cas de frau El jackpotting és l'explotació econòmic contra els caixers automàtics, fent servir tècniques de fraudulenta d'un caixer automàtic, de manera que jackpotting per accedir als servidors i extreure’n tots els diners. Una dispensa efectiu que no ha pràctica que va tenir el seu origen als països de l’Europa de l’Est83. estat retirat d'un compte. Finalment, destaca el cas de frau milionari de les benzineres a Rússia, on, a partir d’un malware, modificaven els sortidors de benzina per tal que proveïssin menys combustible del que l’usuari pagava84.
82 http://www.ibtimes.co.uk/irs-scam-cybercrooks-target-taxpayers-fake-refunds-debt-collection-threats-new-brazen-scheme-1662491 83 https://www.engadget.com/2018/01/28/atm-jackpotting-hacks-reach-the-us/ 84 https://hotforsecurity.bitdefender.com/blog/hacker-uses-malware-to-steal-resell-gas-in-major-russian-fraud-scheme-19497.html
Tendències de Seguretat T1 2018 – CESICAT | 32
5. EXECUCIÓ DE CODI ARBITRARI
Es considera una amenaça de codi arbitrari aquella causada per a l’execució de comandes o la injecció de codi en una aplicació, generalment aprofitant alguna vulnerabilitat del sistema.
Durant aquest primer trimestre de l’any s’han identificat vulnerabilitats que afecten els productes de BitTorrent i UTorrent, els quals permeten l’execució remota de codi amb els mateixos privilegis que l’usuari.85
També s’ha detectat una vulnerabilitat a l’eina d’assistència S’ha detectat una remota de Windows (RDP) que vulnerabilitat a l’eina afectava totes les versions. La d’assistència remota de mecànica consistia que, quan es Windows (RDP) que realitzava una invitació a un tercer per afectava totes les accedir a l’equip, es generava un arxiu versions XML que contenia un codi maliciós sense coneixement per part del Les vulnerabilitats zero-day són errors en el programari receptor. Per tant, l’atacant podia enviar un arxiu d’invitació que deixen els usuaris d’assistència remota propi infectat amb malware, a través del qual exposats enfront els ciberatacs podia aconseguir que la víctima li enviés la informació abans que existeixi un pegat o 86 solució alternativa. emmagatzemada a l’ordinador .
Una vegada que la En el cas d’Adobe Flash Player, s’ha descobert una vulnerabilitat zero- vulnerabilitat zero-day és day que permetia l’execució de codi de forma remota, afectant les publicada, per al desenvolupador comença una versions dels navegadors Chrome, Internet Explorer i Edge, així com carrera a contrarellotge per les versions d’escriptori de Windows, Macintosh, Linux i ChromeOS. solucionar-ho i protegir els En aquest sentit, han aparegut sospites que Corea del Nord ha usuaris. aprofitat aquesta vulnerabilitat per realitzar accions d’espionatge87.
85 https://www.scmagazineuk.com/utorrent-apps-vulnerable-to-remote-code-execution-information-disclosure/article/746248/ 86 https://blog.segu-info.com.ar/2018/03/vulnerabilidad-critica-en-rdp-afecta.html 87 https://www.darknet.org.uk/2018/02/0-day-flash-vulnerability-exploited-in-the-wild
Tendències de Seguretat T1 2018 – CESICAT | 33
6. SUPLANTACIÓ D’IDENTITAT
Aquesta amenaça engloba la suplantació o usurpació de la identitat digital, tant d’un sistema com d’una persona.
En aquesta línia, s’han identificat diverses campanyes de phishing amb l’objectiu d’obtenir les dades de l’usuari per tal de suplantar la seva identitat amb diverses finalitats. Alguns exemples són la Campanyes per robar campanya per robar dades dades personals als personals als clients de Movistar88, clients de Movistar, les campanyes fent-se passar pel Banc Santander, BBVA 89 90 El Machine Learning és una Banc Santander o el BBVA per i Endesa disciplina inclosa en el camp obtenir dades d’accés als comptes de la intel·ligència artificial, bancaris de les víctimes, i la falsa que estudia la capacitat 91 d’aprenentatge automàtic campanya d’Endesa on es demanava a l’usuari que proporcionés les dels ordinadors amb dades bancàries per rebre el retorn de l’import de la darrera factura, programes que es en la qual s’havia realitzat un cobrament doble per error. perfeccionen sense que la intervenció humana sigui En relació a aquest tipus d’amenaça, també s’han identificat moltes necessària. Aquests programes aprenen a partir accions de suplantació de la identitat de famosos per a la difusió de d’un gran volum de dades notícies falses. Fins i tot ha aparegut un algoritme de machine (decisions preses, errors learning, anomenat DeepFakes, que permet modificar la cara de comesos...) i de l’ús d’algoritmes. qualsevol personatge de pel·lícula o vídeo per tal que aparegui la cara d’una altra persona92.
7. INFORMACIÓ/PROGRAMARI CORRUPTE
Fa referència a la corrupció d’informació o de programari, la qual cosa implica que el contingut lògic d’aquests estigui organitzat d’una manera no apropiada, li faltin dades o no sigui vàlid.
88 http://www.ticbeat.com/seguridad/cuidado-detectan-una-gran-campana-de-phising-en-las-facturas-de-movil-de-movistar/ 89 https://www.redeszone.net/2018/03/21/servicio-pago-movil-banco-santander-spam/ 90 https://www.osi.es/es/actualidad/avisos/2018/02/campana-phishing-bbva 91 https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-phishing-suplanta-falsas-devoluciones-endesa 92 http://www.ibtimes.co.uk/deepfakes-people-are-now-swapping-their-friends-faces-into-porn-1657101
Tendències de Seguretat T1 2018 – CESICAT | 34
Una de les maneres més habituals que es corrompi la informació o el S’han identificat noves programari és a partir d’atacs amb estratègies com el ransomware. En aquest àmbit, ja xifrat lent dels habitual, durant el primer trimestre documents i la pujada de 2018 s’han identificat noves progressiva del preu estratègies com el xifrat lent dels del rescat documents i la simultània pujada progressiva del preu del rescat per pressionar la víctima, que realitza el programari maliciós Scarabei93. Un altre cas destacable el trobem amb Thanatos94, un malware que no retorna claus de desxifrat i és el primer ransomware que accepta la criptomoneda Bitcoin Cash (BCC).
A començament d’any també s’han tractat diferents notícies relacionades amb el malware NotPetya, el qual ha tingut un gran impacte en les indústries Maersk95. En aquest cas, se l’ha desclassificat de la categoria de ransomware perquè no segresta els arxius, sinó que directament els destrueix. La CIA ha acusat formalment Rússia de la propagació d’aquest programari maliciós96.
En aquesta amenaça, també hem detectat un cas destacable de corrupció d’informació a la Xina, on sembla que els operadors que mantenen la base de dades de vulnerabilitats estatal (CNNVD) habitualment endarrereixen l’actualització de vulnerabilitats d’alt risc, per permetre que el govern del país pugui avaluar-les prèviament i utilitzar-les en operacions d’espionatge97.
93 http://www.ibtimes.co.uk/scarabey-this-ransomware-threatens-slowly-delete-your-files-every-24-hours-until-you-pay-1658742 94 https://www.securityweek.com/thanatos-ransomware-makes-data-recovery-impossible 95 https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/ 96 http://www.bbc.com/news/uk-politics-43062113 97 https://www.darkreading.com/vulnerabilities---threats/chinas-vulnerability-database-altered-to-hide-govt-influence/d/d-id/1331235
Tendències de Seguretat T1 2018 – CESICAT | 35
8. DENEGACIÓ DE SERVEIS INTENCIONATS El DDoS (Distributed Denial of Service) és un atac originat per És l’amenaça que impossibilita l'accés als serveis i recursos durant un una xarxa de dispositius o període indefinit de temps. botnet. L’objectiu és causar la indisponiblitat d’un servei i S’ha produït l’atac En aquest àmbit, durant el mes de impedir l’accés als usuaris DDoS amb intensitat 1,7 legítims, amb la saturació del febrer, es va detectar l’atac DDoS tràfic i el processat més gran de tota la història. Va ser el Tbps, el més gran mai computacional que els servidors dia 26 de febrer quan les empreses registrat són capaços de suportar. de ciberseguretat CloudFlare i Arbor van advertir que actors maliciosos estaven aprofitant el protocol El memcached és un software ‘memcached’ per realitzar atacs de denegació de servei distribuïts. utilitzat per a Dos dies més tard, el 28 de febrer, GitHub va ser atacat fent ús del l’emmagatzematge a la memòria cau o chaché de mateix protocol ‘memcached’ amb una intensitat de 1’35 Tbps, i va dades i objectes, de manera ocasionar que no estigués disponible durant 4 minuts98. La setmana que facilita que la pàgina es següent es produïa una denegació encara més gran, de fet la més pugui carregar de forma més ràpida. gran registrada fins a dia d’avui, amb 1.7 Tbps. Segons els informes, les dades dels usuaris no es van veure compromeses99. La vulnerabilitat consistia a permetre modificar la petició, En aquest trimestre, com hem de tal manera que Apple ha patit dos explicat en l’apartat dedicat a s’aconseguís dirigir les dades incidents de denegació del resultat cap a l’objectiu “Apple”, aquesta marca ha patit de servei; un a partir d’un d’atacar. dos incidents de denegació de servei. El primer cas va ser missatge de text i l’altre a ocasionat per una vulnerabilitat en partir d’un carácter indi el sistema de missatgeria propi d’Apple (iMessage), a partir de la qual, quan s’obria un missatge de text específic, es feia una descàrrega d’informació tan gran que el terminal quedava bloquejat100. Posteriorment, va aparèixer una altra vulnerabilitat que impossibilitava la interpretació d’un caràcter indi, de manera que, en escriure’l o rebre’l, el dispositiu (ja fos Mac, iPhone o iPad) quedava bloquejat. L’enviament d’aquest caràcter es va fer viral i la societat, especialment el col·lectiu adolescent, n’ha fet ús per molestar els seus coneguts i a mode de broma101.
98 https://www.securityweek.com/memcached-abused-ddos-amplification-attacks 99 https://blog.segu-info.com.ar/2018/03/17-tbps-en-un-nuevo-record-de-ddos.html 100 https://www.grahamcluley.com/chaios-bug-crash-ios-macos-messages/ 101 http://unaaldia.hispasec.com/2018/02/apple-vuelve-sufrir-ataques-por-text.html
Tendències de Seguretat T1 2018 – CESICAT | 36
9. SABOTATGE
Aquesta amenaça inclou totes les accions deliberades adreçades a afeblir els recursos, tant físics com lògics, a través de la subversió, obstrucció, interrupció o destrucció.
Tal i com comença a ser habitual, els esdeveniments importants són susceptibles de ser sabotejats, i els Jocs Olímpics d’hivern no han estat pas una excepció. Durant la cerimònia d’obertura, més de 300 ordinadors de les autoritats olímpiques van quedar compromesos, els routers van ser hackejats i va aparèixer un malware destructiu distribuït per la xarxa102. Aquests incidents, juntament amb la fuita de correus electrònics i documents relacionats amb els controls antidopatge (descrits a l’apartat “Compromís d’informació“ d’aquest mateix informe) han estat els aspectes més rellevants, però el fet és que l’esdeveniment ha experimentat constants atacs de sabotatge.
També s’han observat intents de sabotatge contra països, com en S’han observat intents l’anunci del govern d’Alemanya, amb de sabotatge contra la informació que havia estat atacat i diferents països sense especificar l’autoria, tot i que l’atac havia estat aïllat i posat sota control103. Un altre exemple és la campanya de phishing anomenada MuddyWater que afectava diverses indústries de l’Àsia i l’Orient Mitjà, i difonia documents amb macros malicioses per obtenir el control dels dispositius104.
Pel que fa al sabotatge d’instal·lacions industrials, s’ha constatat com el malware Triton, considerat com una variant avançada de Stuxnet, ha estat utilitzat per apagar una instal·lació de petroli i gas de l'Orient Mitjà105. Anàlogament, tot i que es va dur a terme durant el mes d’agost de 2017, ha sortit a la llum l’intent de sabotatge d’una planta petroquímica de l’Aràbia Saudita, on els atacants volien provocar una explosió mortal106.
102 http://www.ibtimes.co.uk/winter-olympics-hit-by-cyberattack-during-opening-ceremony-officials-refuse-say-who-did-it-1660570 103 https://blog.segu-info.com.ar/2018/03/alemania-denuncia-ciberataque-de-los.html 104 https://threatpost.com/iran-linked-group-temp-zagros-updates-tactics-techniques-in-latest-campaign/130447/ 105 https://www.ibtimes.co.uk/triton-malware-next-gen-cyberweapon-that-can-shut-down-power-plants-accidentally-leaked-online-1655465 106 https://www.securityweek.com/hackers-tried-cause-saudi-petrochemical-plant-blast-nyt
Tendències de Seguretat T1 2018 – CESICAT | 37
10. ÚS INDEGUT DE RECURSOS
Aquesta amenaça engloba la utilització dels sistemes d’informació per realitzar activitats no autoritzades, com poden ser la descàrrega de continguts il·legals o les comunicacions P2P no controlades.
L’ús indegut més rellevant identificat durant el trimestre és Un grup d’investigadors ha el cas d’un grup d’investigadors estat acusat d’utilitzar una que ha estat arrestat, acusat instal·lació nuclear russa per d’utilitzar una instal·lació nuclear minar bitcoins russa d’alt secret amb l’objectiu de minar bitcoins107.
En la mateixa línia de l’ús indegut de dades, s’ha observat com un grup d’investigadors de la Universitat d’Stanford, als Estats Units, ha aconseguit fer prediccions precises sobre els patrons de votació d’un barri, analitzant milions d’imatges i dades d’ubicació recopilades per Google Street View108. De manera similar, la cadena de cines americana MoviePass va informar que, a partir de les dades recopilades sense avís previ, realitzarien accions de màrqueting que beneficiessin els seus clients109.
107 http://www.bbc.com/news/world-europe-43003740 108 http://www.ticbeat.com/tecnologias/google-ya-sabe-a-quien-vas-a-votar-gracias-a-street-view/ 109 https://www.engadget.com/2018/03/09/moviepass-the-new-face-of-unbridled-data-greed/
Tendències de Seguretat T1 2018 – CESICAT | 38
Centre de Seguretat de la Informació de Catalunya ® CESICAT a maig de 2018
El contingut d’aquesta guia és titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya i resta subje cta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:
Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya. Llicenciada sota la llicència CC BY-NC-ND. Aquesta guia es publica sense cap garantia específica sobre el contingut.
Aquesta llicència té les particularitats següents: Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra. Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dóna suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca Tendències de Seguretat T1 2018 – CESICAT | 39
Informe sobre tendències en ciberseguretat elaborat pel CESICAT (segon trimestre 2018)
Informe de Tendències - 2n Trimestre 2018
1 Document classificat com a confidencial d’us intern Títol principal projecte 2018 Informe de Tendències - 2n Trimestre 2018
El contingut d’aquesta guia és titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:
Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya.
Llicenciada sota la llicència CC BY-NC-ND.
Aquesta guia es publica sense cap garantia específica sobre el contingut.
Aquesta llicència té les particularitats següents:
Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra.
Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dóna suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca
2 Informe de Tendències - 2n Trimestre 2018
Índex
Introducció ...... 5
Visió general ...... 7 Ha estat notícia ...... 10 Tendències ...... 13 Criptomonedes ...... 13 Phishing ...... 17 Fuita i Robatori de Dades ...... 19 Atacs a Dispositius Mòbils, IoT i Routers ...... 24 Intervenció de les institucions ...... 29 Ciberamenaces detectades ...... 33 1. Difusió de programari maliciós ...... 33 2. Compromís d’informació ...... 35 3. Frau econòmic ...... 36 4. Denegació de serveis intencionats ...... 37 5. Accés lògic no autoritzat ...... 39 Conclusions ...... 41
3 Informe de Tendències - 2n Trimestre 2018
4 Informe de Tendències - 2n Trimestre 2018
Introducció
Aquest document és fruit del seguiment i de l'anàlisi de les tendències en relació amb les amenaces de ciberseguretat detectades durant el segon trimestre del 2018 per part del CESICAT. Per a la realització d'aquest informe s'ha tingut en compte l’activitat i la documentació pròpies generades pel CESICAT, així com diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional.
“El contingut d’aquest document està contrastat amb diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat.”
5 Informe de Tendències - 2n Trimestre 2018
6 Informe de Tendències - 2n Trimestre 2018
Visió general
Durant el 2n trimestre de 2018 el Reglament General de Protecció de Dades (RGPD) europeu i les seves primeres conseqüències han estat protagonistes. D’entrada, diverses empreses han aturat indefinidament la seva activitat a la UE per incapacitat immediata de complir amb el Reglament, probablement perquè el seu negoci es basa en el tractament no “Facebook i Google consentit de dades personals. Al mateix temps han sorgit les afronten demandes de 3900 i 3700 milions primeres denúncies. Ara bé, es preveu que les d’euros, respectivament.” conseqüències més importants encara estan per venir, ja que l’obligació d’informar dels incidents de seguretat “El phishing es posa a possibilitarà conèixer el nombre real d’incidents i, amb tota l’abast de tothom amb kits probabilitat, comportarà sancions milionàries que, per un cost d’entre exemplificadores. 100 i 300 $, permeten Els ciberdelinqüents han aprofitat l’avinentesa de l’entrada en preparar correus i llocs vigor del RGPD per desplegar campanyes de phishing en què, web fraudulents.” fent-se passar per empreses de serveis sol·licitant l’acceptació de polítiques d’ús de dades personals, demanen a l’usuari que introdueixi credencials, dades bancàries, etc. Tot i que un 78% dels usuaris no cauran mai en el phishing, un 4% en seran víctimes recurrents gràcies a mètodes cada vegada més personalitzats i versemblants.
“... mineria il·lícita (cryptojacking) que, definitivament, ha ocupat el lloc preeminent que recentment ocupava el ransomware.“
En altres casos, el phishing es combina amb tècniques més complexes i actua com a mitjà per a l’entrada de malware. I si es parla de malware, cal fer-ho també de la mineria il·lícita “L’aparició de diferents (cryptojacking) que, definitivament, ha ocupat el lloc preeminent vulnerabilitats, com que recentment ocupava el ransomware. De fet, aquest any, el DrupalGeddon2 que afecta nombre de webs infectades amb malware de mineria s’ha una quarta part de les webs Drupal, han contribuït doblat i la tendència segueix a l’alça. Algunes d’aquestes a la proliferació de la webs infectades també són capaces d’utilitzar el navegador del mineria il·lícita.” visitant al lloc web infectat per tal de fer-lo minar. Però les varietats de malware de cryptojacking van més enllà i se n’han identificat que afecten tot tipus de dispositius: “Són habituals els casos de ordinadors amb Windows, MacOS, Linux, mòbils Android o frau en la recaptació inicial de criptomonedes: Modern dispositius IoT. Tech (Vietnam), amb un frau Al marge del cryptojacking, la ciberdelinqüència fa ús rècord de 514 milions d’€, i d’estratègies de frau i robatori per obtenir benefici de les Paypro (Barcelona), en què criptomonedes. En destaca el frau, fins al punt que s’estima que es van sostraure un 10% del capital recaptat en la sortida de noves 450 000 €...” criptomonedes esdevé objecte d’estafa. Altrament, prolifera el robatori amb atacs directes contra les cryptowallets dels usuaris, utilitzant malwares i tècniques de phishing, o atacs contra les plataformes de canvi que, en cas d’èxit, permeten robar importantíssimes quanties econòmiques que poden influir en el valor de mercat de les criptodivises.
7 Informe de Tendències - 2n Trimestre 2018
Al mateix temps, l’amenaça de robatori o fuita d’informació persisteix. Un 50% dels incidents tenen darrere grups organitzats a la cerca i captura de tot tipus de credencials i “Les configuracions deficients dades personals, però el més greu és que un 17% dels a la plataforma Amazon Web incidents es deu a la mala configuració de sistemes, una Services S3 són un cas tendència alarmant que suposa un increment del 424% des rellevant, per la repetició del 2016 i constata que queda molta feina a fer en matèria de d’incidents i perquè enguany conscienciació d’usuaris i responsabilitat de proveïdors. En es comptabilitzen més de 52 altres casos, destaca l’estratègia de perpetrar atacs a través de milions de registres personals proveïdors vulnerables, cosa que emfatitza la importància de exposats.” formar part d’una xarxa cibersegura de clients i proveïdors. Finalment, cal recordar que en el 28% de les fugues d’informació hi intervé personal intern.
“... els dispositius mòbils segueixen figurant entre els objectius predilectes dels ciberatacants, en especial pel frau bancari des d’app...“
Una altra idea a considerar és que els dispositius mòbils segueixen figurant entre els objectius predilectes dels “Es preveu un increment ciberatacants, en especial pel frau bancari des d’app que, constant en el nombre de entre el 2015 i el 2018, creix d’un 5% a un 39% del total de noves descàrregues d’apps, transaccions bancàries fraudulentes. Android, potser perquè enguany estimat en un cobreix el 85% del mercat, està especialment afectat. El seu +15% fins arribar a 205 mercat, Google Play, afirma bloquejar el 99% d’apps milions anuals a escala malicioses abans de ser publicades, però només un 1% que global.” superi els controls significa milers de descàrregues i dispositius infectats. Però l’amenaça no només rau en la descàrrega d’apps, també s’han identificat més de 100 models de smartphone de gamma baixa amb malware de fàbrica.
“L’interès dels ciberdelinqüents per routers i dispositius IoT està principalment orientat a utilitzar-los per conformar botnets.”
Els dispositius IoT de Catalunya també es troben a l’ull de l’huracà i, l’últim quadrimestre de 2017, Espanya ha estat el principal objectiu dels atacs contra dispositius IoT, arribant a rebre’n el 22% mundial. Ara bé, els atacs a routers són inclús més greus probablement perquè, en cas de ser infectats, permeten capturar les dades que hi circulen (contrasenyes, targetes de crèdit, dades personals, etc.) i desviar les comunicacions cap a webs fraudulentes. L’interès dels ciberdelinqüents per routers i IoT està orientat principalment a utilitzar-los per conformar botnets. De fet, aconsegueixen infectar amb malware i adscriure els dispositius a una botnet en uns 30 minuts. Aquesta ràpida infecció és necessària per aconseguir una propagació constant que compensi la baixa prevalença dels malware botnet (només un 0,5% de les infeccions superen els 9 dies).
8 Informe de Tendències - 2n Trimestre 2018
“L’FBI alertava del malware Al mateix temps, les botnets interessen per les múltiples i botnet VPNFilter, amb 500 000 diverses possibilitats d’obtenir beneficis econòmics: activitat routers afectats en 54 països, i publicitària, mineria il·lícita, activitat web, atacs de força demanava als usuaris que reiniciessin el router amb la bruta, difusió de spam i atacs DDoS. configuració de fàbrica.” En aquest context, la preocupació pels ciberatacs queda palesa, com ho corrobora el World Economic Forum que els “La vulnerabilitat GPON situa en el Top 3 d’amenaces globals. D’aquesta manera, les afectava més d’1 milió de institucions governamentals es veuen empeses a prendre routers i ha provocat que mesures de control del risc cibernètic. D’entrada, l’estabilitat diverses famílies botnet social és una prioritat, fet que exigeix la contenció de les competissin activament entre fake news per la seva capacitat d’influir en resultats electorals. elles per explotar-la.” La Comissió Europea ha elaborat un informe amb recomanacions, però sense mesures concretes, instant els “Facebook crea un centre de estats membres a implementar mesures pròpies, per avaluar-ne control de continguts nocius l’impacte posteriorment, i als mitjans digitals a comprometre’s a a Barcelona i Twitter pren un codi de conducta. L’estabilitat econòmica és una altra mesures per eliminar usuaris prioritat, pel que s’insta al control de les criptomonedes. En falsos i reduir l’spam un aquest àmbit, el G20 promou que els Estats regulin el seu ús per 214% més.” evitar activitats delictives i incrementar el control fiscal.
“Sovint, és arriscat discernir la línia que separa les mesures de control i la censura a Internet, però alguns Estats no dubten en ultrapassar-la.“
Sovint, és arriscat discernir la línia que separa les mesures de control i la censura a Internet, però és clar que alguns Estats no “L’acord Cybersecurity Tech dubten en ultrapassar-la. És el cas d’Iran i Rússia que, agrupa 30 grans companyies emparant-se en la seguretat nacional, han bloquejat l’ús de (Facebook, Cisco, HP, l’aplicació de missatgeria Telegram. No obstant això, sembla Microsoft, Nokia, Oracle, Trend que aquest fet amaga la negativa de la plataforma a cedir l’accés Micro, etc.) i algunes de les als missatges dels usuaris. Un altre cas impactant ha succeït a principals operadores de telecomunicacions (Etisalat, Algèria on, per evitar la filtració de preguntes en el període Singtel, SoftBank i Telefónica) d’exàmens, s’ha bloquejat Internet. creen una aliança en matèria Més enllà de tots aquests exemples, s’evidencia com la voluntat de ciberseguretat.” de fer front a les ciberamenaces és tant cabdal que les accions de control transcendeixen les institucions governamentals. Ja apareixen iniciatives privades d’abast mundial que alineen companyies, en molts casos competidores, amb l’objectiu de col·laborar per aconseguir productes i serveis més cibersegurs.
9 Informe de Tendències - 2n Trimestre 2018
Ha estat notícia
En els darrers tres mesos, l’entrada en vigor del nou Reglament El RGPD és el nou General de Protecció de Dades (RGPD) ha estat notícia i s’ha reglament europeu vist com la majoria d’entitats han procurat adaptar-s’hi. Malgrat d’obligat compliment a les dificultats, el dubte sobre si realment s’han fet les coses tal i partir del 25 de maig de com demana el Reglament és generalitzat. 2018 que, a Espanya, substitueix a la Llei En qualsevol cas, ja s’observen diverses conseqüències que Orgànica de Protecció de ofereixen una idea de l’àmplia influència del RGPD. Dades (LOPD). Aquest reglament estableix canvis importants amb Serveis interromputs relació a la normativa precedent: la Tot i que les empreses han disposat de dos anys de marge responsabilitat proactiva per adaptar-se al RGPD, moltes encara no han trobat de l’encarregat de tractar solucions adients i han interromput la seva activitat per les dades i l’enfocament de la seguretat orientada a evitar sancions. risc. Un exemple n’és el marcador de webs Instapaper, un servei que permet guardar enllaços per classificar-los o poder llegir-los després. Presumiblement, fruit d’una mala planificació ha hagut de deixar de donar serveis a Europa per no poder complir amb el RGPD1. Tot i que, a priori, és una aturada temporal, s’ha demanat als usuaris que es descarreguin els enllaços. També s’han vist afectats serveis com whois2, de ICAAN, que ha deixat de publicar les dades dels contactes dels dominis europeus a Internet davant del risc de ser objecte de denúncies. En aquesta línia, l’EPAG, l’entitat registradora de dominis alemanya, ha comunicat a ICAAN que els nous registres de dominis que es subministrin no comptaran amb dades administratives i tècniques dels seus clients. ICAAN, per la seva banda, ja ha demanat interpretació per a aquest cas a la Cort alemanya i resta veure com evolucionarà34.
Il·lustració 1.: esquema de funcionament del servei whois5
1 https://www.engadget.com/2018/05/24/instapaper-temporarily-shuts-down-europe-gdpr/ 2 https://whois.icann.org/es 3 https://www.securityweek.com/deleted-whois-data-unintended-consequence-gdpr 4 https://www.helpnetsecurity.com/2018/05/31/gdpr-whois/ 5 https://www.internic.net/regist.html
10 Informe de Tendències - 2n Trimestre 2018
Així mateix, el servei online per a la gestió de subscripcions i correus Unroll.me6 va aturar l’activitat el dia 23 de maig de manera indefinida atès que, pel seu finançament, realitzava el tractament analític no consentit de dades personals dels usuaris. Diversos mitjans d’informació americans també han tancat el seu servei a Europa i estan buscant solucions tècniques per poder reprendre’l. Alguns d’aquests mitjans són New York Daily News, Chicago Tribune, LA Times, Orlando Sentinel, Baltimore Sun, Saint Louis Post-Dispatch, Arizona Daily Sun, etc. Tots ells han d’assegurar-se que tenen el “consentiment lliure, específic i informat” dels usuaris respecte l’ús de les seves dades personals. Tot i que el seu negoci és principalment informatiu, aquest fet evidencia com fan ús de les dades personals dels seus lectors, ja sigui a partir de les subscripcions o en la utilització de cookies per recavar informació de navegació7. Un altre cas particular, relativament diferent, és el dels videojocs Missatge a la web d’alguns mitjans d’informació 8 web dels EUA quan s’accedeix des de la UE en línia Ragnarok i Super Monday Night Combat (SMNC) que, després de diversos anys a Internet, han tancat els servidors i expulsat els jugadors de la UE. Una vegada més, es pot afirmar que el seu model de negoci fa ús del tractament de dades personals dels usuaris.
Altres afectacions
El RGPD, més enllà de consideracions legals o organitzatives, ha tingut altres efectes col·laterals, com l’allau de peticions de consentiment rebudes pels ciutadans per part de tot tipus d’entitats. Aquest fet no ha passat desapercebut pels cibercriminals, que han aprofitat per llançar campanyes de pesca de credencials, tal com s’explica a l’apartat de phishing.
“...ja han arribat les primeres denúncies multimilionàries: Facebook i Google afronten demandes de 3900 i 3700 milions d’euros...”
A més, ja han arribat les primeres denúncies multimilionàries: Facebook i Google afronten demandes de 3900 i 3700 milions d’euros, respectivament. L’organització NOYB (None Of Your Business), liderada per l’activista a favor de la privacitat Max Schrems, assegura que les noves mesures de consentiment, obligatòries si es vol disposar del servei, no compleixen amb la regulació9. Malgrat tot, és ben segur que aquestes no seran les úniques demandes multimilionàries que es veuran i en els propers mesos se n’afegiran d’altres.
6 https://www.redeszone.net/2018/05/07/unrollme-gdpr/ 7 https://www.scmagazineuk.com/gdpr-compliance-rush-arrives--sites-close-google-facebook-face-lawsuits/article/768738/ 8 https://www.adslzone.net/2018/05/07/gdpr-bloqueo-europeos-cumplir/ 9 https://www.theverge.com/2018/5/25/17393766/facebook-google-gdpr-lawsuit-max-schrems-europe
11 Informe de Tendències - 2n Trimestre 2018
Pel que fa a l’opinió pública, generalment es valora positivament Una VPN (Virtual Private com el Reglament apodera la ciutadania en la gestió de les Network) permet l'extensió pròpies dades personals. No obstant això, alguna veu dissonant segura d’una xarxa local (LAN) sobre una xarxa (com la de la firma gestora de riscos Russell Group) indica que pública com Internet, de el RGPD és un cop contra el tràfic lliure de dades digitals al món, 10 manera que externament a l’alçada de les polítiques menys liberals de Xina i Rússia . no es pot monitoritzar la En altres casos, sense ser contraris al RGPD, els ciutadans de comunicació ni les dades la UE no comparteixen la inquietud per les dades personals i fan transmeses. Això és ús de solucions VPN de fora la UE per evitar, així, les restriccions possible perquè el tràfic de dades de l’usuari es que imposa el nou Reglament. D’aquesta manera es segueix dirigeix a un servidor VPN disposant d’accés a totes les webs i aplicacions que han aturat i, posteriorment, la l’activitat a la UE. Són casos en què els ciutadans prioritzen connexió entre el servidor disposar d’un servei per sobre de la protecció que els VPN i el destí es realitza ofereix la llei, encara que les seves dades personals passin de forma xifrada i anònima a quedar fora del seu control. pel proveïdor d’Internet.
10 https://www.theguardian.com/technology/2018/may/25/gdpr-us-based-news-websites-eu-Internet-users-la-times
12 Informe de Tendències - 2n Trimestre 2018
Tendències Criptomonedes
Durant el segon trimestre de l’any, se segueix observant la La mineria de incidència de tot allò que envolta les criptomonedes i, com ja criptomonedes o s’aventurava, continua marcant tendència en ciberseguretat. criptomineria és el procés de validació de les transaccions fetes amb criptomonedes fent ús dels Mineria recursos computacionals d’un dispositiu determinat. El 2018 s’està convertint en l’any de la mineria il·lícita o Aquest dispositiu, que en cryptojacking, que ha passat a ser l’atac predilecte de la aquestes funcions rep el ciberdelinqüència per maximitzar els beneficis. Des de l’inici de nom de miner, obté una l’any, tots els indicadors han apuntat un creixement constant recompensa en del malware de mineria per sobre del ransomware, que criptomonedes que pot decreix en quantitat, però esdevé més específic. Queda per variar segons la moneda i veure si amb la més que possible caiguda del valor de les la transacció. criptomonedes, a causa dels nous controls legislatius, aquesta tendència es mantindrà. En aquest àmbit s’ha de destacar el gran nombre d’incidents que fan ús de la vulnerabilitat a Drupal, anomenada 11 La mineria il·lícita o DrupalGeddon2 , per infectar el sistema amb malware de cryptojacking és un atac en mineria. Per tenir una idea de la magnitud de l’afectació, cal dir el qual es fa un ús no que Drupal és un sistema àmpliament utilitzat en la gestió de autoritzat de la capacitat continguts de llocs web amb funcionalitats de bloc, portal de càlcul computacional professional, botiga virtual, fòrum, etc. Actualment hi ha del dispositiu de la víctima aproximadament 1 milió de llocs web que l’utilitzen i s’estima que per minar criptomonedes i almenys una quarta part eren vulnerables, de les quals es van obtenir, com a benefici detectar un mínim de 900 pàgines afectades12 (aproximadament econòmic, la recompensa un 0,1%), entre les quals unes 400 són de governs i universitats corresponent. És una 13 pràctica de difícil detecció d’arreu del món . perquè té lloc en segon pla, tot i que l'usuari pot experimentar alentiment en l'activitat del seu dispositiu. Aquest atac és possible a partir d'una infecció a través d'un programari maliciós de mineria o per mitjà de l'accés a una web maliciosa que té codi javascript per a la mineria de criptomonedes injectat: la web es carrega i l’script s’executa sense necessitat d’instal·lar-se a l’equip. Il·lustració 2.: Pàgines Drupal afectades per Drupalgeddon2, d’un total de 500 000 analitzades14
11 https://ciberseguretat.gencat.cat/ca/detalls/noticia/Nova-vulnerabilitat-critica-a-Drupal 12 https://blog.malwarebytes.com/threat-analysis/2018/05/look-drupalgeddon-client-side-attacks/ 13 https://threatpost.com/cryptojacking-campaign-exploits-drupal-bug-over-400-websites-attacked/131733/ 14 https://badpackets.net/over-100000-drupal-websites-vulnerable-to-drupalgeddon-2-cve-2018-7600/
13 Informe de Tendències - 2n Trimestre 2018
La vulnerabilitat DrupalGeddon2 es va identificar durant el mes Un pegat és una peça de de març, però durant les següents setmanes han anat apareixent software que s’afegeix a altres vulnerabilitats relacionades i nous pegats per un programa per solucionar-ho. Tot i disposar ràpidament d’aquests pegats, molts actualitzar-lo amb l’objectiu dels sistemes han estat igualment compromesos a de solucionar conseqüència de no haver-los instal·lat i de l’aparició de diferents vulnerabilitats, errors o millorar les seves malwares específics per explotar-la. Com l’anomenat Kitty, que prestacions. té la capacitat de fer minar la criptomoneda Monero als visitants de la web15. Les pàgines web infectades amb malware de mineria segueixen una tendència a l’alça i s’han doblat des de l’inici d’any, com evidencia l’estudi realitzat per Hispasec a partir de l’anàlisi diari de més de 3 milions de direccions d’Internet16.
Il·lustració 3.: URLs que presenten minat, d’un total analitzat de 3 milions
A banda, s’han observat altres casos de cryptojacking, com la campanya WinstarNssMiner17 amb mig milió d’atacs, el malware Mshelper que ha afectat a molts usuaris de Mac18, una sèrie d’aplicacions malicioses d’Android que pretenien fer-se passar “Facebook està pel joc Fortnite19, l’adware FileTour20 que utilitza Google Chrome considerant la creació de la per minar criptomonedes, inclús amb el navegador tancat. seva pròpia criptomoneda per transaccions dins de la Els dispositius IoT no estan exempts de la mineria il·lícita. plataforma” En aquest sentit, un grup de hackers ha utilitzat el malware Prowli per infectar més de 40 000 sistemes entre dispositius IoT, routers i servidors web. A banda de cryptojacking, el malware dirigia les víctimes a llocs web maliciosos amb l’objectiu d’incrementar les opcions d’obtenir beneficis21.
15 https://www.scmagazineuk.com/kitty-cryptominer-targets-web-app-servers-then-spreads-to-app-users/article/763533/ 16 https://unaaldia.hispasec.com/2018/05/las-urls-con-capacidad-de-minado-no.html 17 https://www.scmagazineuk.com/attempts-to-terminate-winstarnssmminer-cryptominer-result-in-computer-crash/article/767244/ 18 https://www.securityweek.com/macs-infected-new-monero-mining-malware 19 https://threatpost.com/fake-fortnite-apps-for-android-spread-spyware-cryptominers/132062/ 20 https://www.redeszone.net/2018/05/17/filetour-adware-minar-criptomonedas/ 21 https://securityaffairs.co/wordpress/73265/malware/prowli-campaign.html
14 Informe de Tendències - 2n Trimestre 2018
Frau i Robatori
La bombolla de les criptomonedes ha comportat canvis en l’ecosistema digital i ja són habituals els casos de frau. La situació és tant crítica que s’estima que el 10% del capital que “Durant el mes d’abril s’ha es recapta en la sortida de noves criptomonedes acaba detingut a Espanya una posteriorment robat o sent objecte d’estafa22. banda de cibercriminals (11 detinguts i 137 Un cas significatiu ha succeït durant el mes d’abril, quan la investigats) dedicada a la companyia Modern Tech podria haver dut a terme l’estafa utilització de bitcoins per al més gran de la història de les criptomonedes, recaptant prop blanqueig de capital de 15 bilions de dongs vietnamites, l’equivalent a 514 milions obtingut en el tràfic de d’euros. L’estafa es basava en una estructura piramidal, segons drogues.” la qual s’oferia als inversors un 48% de rendibilitat mensual pagat en moneda, fiat a un màxim de quatre mesos, a partir d’una inversió mínima de 1000 dòlars. Les oficines de Modern Tech van tancar sobtadament, no sense abans haver estafat 32 000 víctimes23.
“...la companyia Modern Tech podria haver dut a terme l’estafa més gran de la història de les criptomonedes, recaptant prop de 15 bilions de dongs vietnamites, l’equivalent a 514 milions d’euros”
Però no cal anar tant lluny. Paypro era una startup que, amb seu operativa a Barcelona i participada per Wayra/Telefónica, tenia l’objectiu de convertir-se en el primer banc descentralitzat mitjançant l’ús de tecnologies blockchain i smartcontracts. No obstant això, a finals de març anunciava que un error en el Un moneder de software va provocar que els 450 000 euros recaptats en la ICO criptomonedes o (Initial Coin Offering) acabessin en un compte inaccessible cryptowallet és un d’un usuari desconegut. software que permet emmagatzemar les claus Continuant amb el frau però des d’una vessant diferent, s’han privades i públiques per detectat campanyes de phishing per robar les credencials gestionar transaccions d’accés als cryptowallets dels usuaris i, així, obtenir les amb criptomonedes claus necessàries per realitzar transaccions amb (emmagatzemar, enviar i criptomonedes i possibilitar el seu robatori. Com a exemple, rebre) de manera segura, els casos de MEWKit que permet robar les claus de la qual cosa és necessària MyEtherWallet24. En altres casos, per atacar la víctima s’utilitzen per a qualsevol operació diferents malwares, com l’SquirtDanger25, que permet realitzar amb criptomonedes. captures de pantalla per robar credencials del cryptowallet, o la Algunes criptomonedes 26 tenen moneders oficials o família njRat que té la capacitat d’anàlisi dels processos en curs recomanats. de la màquina i intercepció de les transaccions dels cryptowallets. També s’han observat altres incidents consistents en el robatori directe a plataformes de canvi de criptomonedes. Destaca el grup de hackers que ha robat 20 milions de dòlars en criptomoneda ethereum, aprofitant la mala configuració d’una interfície que permetia a tercers la capacitat de recuperar claus
22 http://www.ticbeat.com/innovacion/el-10-del-capital-captado-para-nuevas-criptomonedas-ha-sido-robado-o-estafado/ 23 http://www.ticbeat.com/innovacion/la-estafa-mas-grande-de-la-historia-de-las-criptomonedas/ 24 https://www.scmagazineuk.com/mewkit-phishing-campaign-steals-myetherwallet-credentials/article/766882/ 25 https://www.redeszone.net/2018/04/20/protegete-malware-realiza-capturas-pantalla-roba-contrasenas/ 26 https://www.securityweek.com/njrat-gets-ransomware-crypto-currency-stealing-capabilities
15 Informe de Tendències - 2n Trimestre 2018
privades, obtenir les dades personals dels usuaris i, fins i tot, Una prova de concepte o realitzar transaccions27. Un altre cas detectat ha estat el robatori Proof of Concept (PoC) és de 42 milions de dòlars d’una plataforma de canvi de la implementació d’un criptomonedes de Corea del Sud, que ha provocat una baixada mètode o idea per tal de del 10% del preu del bitcoin28. comprovar si el concepte o la teoria es podrà dur a la pràctica. Sovint, la prova és resumida o incompleta. Vulnerabilitats
Un altre aspecte destacable respecte les criptomonedes són les Un atac del >51% es proves de concepte i les vulnerabilitats detectades durant el refereix a un atac a la trimestre. Aquestes són importants perquè, un cop descobertes, tecnologia blockchain, per els criminals poden aprofitar-se’n abans que estigui part d’un miner o grup de disponible una actualització o un pegat que ho solucioni. miners que controlen més del 50% dels nodes de la Un hacker ha estat capaç d’explotar una vulnerabilitat de la xarxa. Amb aquest control plataforma de criptomonedes Verge i trencar, amb el que es majoritari, l’atacant pot coneix com a atac >51%, la fiabilitat que ofereix la tecnologia interferir en el correcte blockchain. Realment, no li va fer falta aconseguir controlar la desenvolupament de la meitat dels nodes de la xarxa i amb un 10% en va tenir prou, ja plataforma afectant a la 29 resta d’usuaris, com ara que va fer ús d’una vulnerabilitat de l’algoritme . Sigui com sigui, evitar que les noves va falsificar transaccions a velocitats de mineria gairebé operacions obtinguin impossibles: 1560 Verges, equivalents a 66 euros, per segon. confirmacions, aturar Pel que fa a les proves de concepte, destaca la possibilitat de pagaments, revertir robar les claus dels moneders de criptomonedes a sistemes transaccions, etc. aïllats: sense connexió a Internet, xarxa local, wifi, bluetooth, etc. La conclusió és que un sistema aïllat, prèviament infectat, pot Un atac de força bruta filtrar informació amb èxit a l’exterior per mitjà d’ones consisteix a intentar totes electromagnètiques (generades per la CPU, el disc dur, etc.), 30 les entrades possibles a un ultrasons (altaveus), senyals òptiques (LEDs, pantalla, etc.) . sistema fins a trobar la que Un altre grup d’investigadors en ciberseguretat ha alertat que desbloqueja l'accés. alguns moneders web o basats en aplicacions JavaScript generen claus excessivament previsibles, fet que permetria als atacants prendre el control dels moneders dels usuaris a partir d’atacs de força bruta31. Una altra vulnerabilitat descoberta per investigadors afecta el protocol de Zerocoin utilitzat en, com a mínim, cinc criptomonedes (SmartCash, Zoin, Zcoin, Hexxcoin i PIVX). Aquest protocol, ja reemplaçat, permetia a un atacant bloquejar les transaccions legítimes de la víctima i emetre, en el seu lloc, una operació de despesa il·legítima32. Durant aquest trimestre l’Excel, en una versió en fase beta, ha substituït el Visual Basic for Applications (VBA) per JavaScript, amb la idea de dotar-lo de major flexibilitat. Però el més destacable és que experts en seguretat ja han descobert la possibilitat d’ocultar malware dins de les fulles de càlcul amb la capacitat de, per exemple, minar criptomonedes33.
27 https://blog.segu-info.com.ar/2018/06/roban-mas-de-us20m-en-ethereum-por-una.html 28 https://nakedsecurity.sophos.com/2018/06/12/bitcoin-value-tumbles-as-hackers-loot-coinrail-cryptocurrency- exchange/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%253A+nakedsecurity+%2528Naked+Security+-+Sophos%2529 29 https://www.scmagazineuk.com/near-impossible-mining-speeds-on-verge-cryptocurrency-using-new-exploit/article/757340/ 30 https://thehackernews.com/2018/04/bitcoin-wallet-keys.html 31 https://www.bleepingcomputer.com/news/security/old-javascript-crypto-flaw-puts-bitcoin-funds-at-risk/ 32 https://www.bleepingcomputer.com/news/security/denial-of-spending-and-inflation-bugs-found-in-several-cryptocurrencies/ 33 https://www.redeszone.net/2018/05/09/minar-criptomonedas-excel/
16 Informe de Tendències - 2n Trimestre 2018
Phishing
Un aspecte destacable al llarg d’aquest trimestre han estat els nombrosos casos de phishing identificats, així com la utilització de diferents tècniques i malwares complementaris. Verizon34 El phishing és un atac quantifica les probabilitats d’èxit d’aquestes tècniques i constata d'enginyeria social en el que, mentre un 78% de les persones mai clica sobre un qual l’atacant imita una correu de phishing, un 4% hi cau recurrentment. És molt més organització de confiança del que és desitjable, ja que amb només una víctima pot ser simulant l’entorn habitual suficient per l’atacant per obtenir accés als sistemes. d'interacció que l'usuari tindria amb ella (pàgina web, correu electrònic, aplicació, etc.). Campanyes de phishing L’objectiu del phishing és Tal com es comenta en la Visió General, el passat mes de maig enganyar l’usuari i obtenir ha tingut lloc l’entrada en vigor el RGPD i els ciberdelinqüents un benefici econòmic o no han deixat passar l’ocasió per intentar treure’n profit. una determinada 35 informació. Molta gent va rebre correus falsos d’empreses com Apple , Carrefour36 o Airbnb37 que els demanaven l’acceptació de la nova política, fins aquí normal, però també l’actualització de dades com ara la targeta bancària, cosa gens habitual.
“...darrerament s’ha detectat la venda de kits de phishing a la dark web (...) contenen un seguit d’eines per portar a terme l’atac.”
Com era d’esperar, també hi ha hagut casos de phishing relacionats amb Hisenda38. En començar la campanya de declaració de la renda, van propagar-se diversos correus electrònics i missatges SMS, els quals instaven la gent a introduir el número de targeta bancària, per tal poder rebre una presumpta quantitat de diners en concepte de devolució. Aquests casos de phishing són fàcilment identificables, ja que, en cas de devolució, Hisenda mai utilitza aquests mitjans. A l’abril hi ha hagut una campanya de phishing dirigida contra els clients de Mapfre39 amb l’enviament d’un correu electrònic en resposta d’una suposada sol·licitud de canvi d’adreça postal. Si no era correcte, calia respondre amb dos documents d’identificació (DNI, carnet de conduir, passaport, etc.). Tot indica que l’ús del phishing prolifera, d’una forma cada vegada més elaborada i dirigida, i es posa a l’abast de qualsevol. Així, s’ha detectat la venda de kits de phishing a la dark web, amb un cost entre 100 i 300 dòlars40. Aquests kits contenen un seguit d’eines per portar a terme l’atac, com ara una interfície per crear pàgines web falses, però suficientment semblants a la de l’empresa o administració suplantada com per enganyar l’usuari. Correu de phishing suplantant Carrefour i sol·licitant la introducció de dades personals
34 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf 35 https://threatpost.com/gdpr-phishing-scam-targets-apple-accounts-financial-data/131915/ 36 https://www.osi.es/es/actualidad/avisos/2018/05/detectada-nueva-campana-de-phishing-que-intenta-suplantar-carrefour 37 https://www.scmagazineuk.com/phishing-campaign-aimed-at-airbnb-guests-uses-gdpr-hook/article/763535/ 38 https://www.adslzone.net/2018/04/06/renta-2017-estafas-mail-phishing/ 39 http://www.ticbeat.com/seguridad/detectada-nueva-campana-de-phishing-que-roba-los-datos-a-clientes-de-mapfre/ 40 https://www.scmagazineuk.com/simple-but-not-cheap-phishing-kit-found-for-sale-on-dark-web/article/761621/
17 Informe de Tendències - 2n Trimestre 2018
Tècniques de phishing complementàries La dark web és la xarxa accessible mitjançant un programari específic i que, Malgrat tot, el phishing no només s’utilitza per obtenir les per les seves dades personals de l’usuari a través d’una petició subtil, característiques sinó que pot ser utilitzat per introduir malware a l’ordinador d’anonimat i difícil de la víctima. El passat abril se’n va detectar un cas que es feia traçabilitat, allotja multitud sevir per difondre el troià Quant Loader41, a través de l’enviament de mercats il·legals o d’arxius que suposadament eren factures. continguts inadequats. El phishing també ha estat utilitzat per introduir el troià Panda42 Sovint el terme deep web per a Windows. Inicialment estava especialitzat en sistemes s’utilitza com a sinònim, bancaris però ha diversificat les seves funcions i actualment però, en realitat, es permet ser utilitzat per atacar plataformes de criptomonedes, refereix a la part de la xarxes socials i webs per adult, amb diverses tècniques per robar xarxa no visible per cercadors d'Internet (no credencials. indexada). La dark web és Al mateix temps, els cibercriminals busquen altres maneres un subconjunt de la deep imaginatives de poder saltar-se les proteccions implementades. web. Així, ha estat possible aprofitar una tècnica, anomenada ZeroFont, que consisteix a fer una reducció fins a zero de la mida de les fonts en Office 365. Essencialment, l'atac de ZeroFont permet mostrar un missatge als filtres anti-phishing i un altre de diferent a l'usuari final43, incrementant les possibilitats de saltar-se els controls i incrementar les probabilitats d’èxit dels correus electrònics de phishing i spam.
“...el phishing no només pot obtenir les dades personals de l’usuari a través d’una petició subtil, sinó que pot, fins i tot, ser utilitzat per introduir malware...”
41 https://www.scmagazineuk.com/url-file-attacks-spread-quant-loader-trojan/article/758007/ 42 https://threatpost.com/panda-banking-trojan-diversifies-into-cryptocurrency-porn-other-targets/131911/ 43 https://www.securityweek.com/phishers-use-zerofont-technique-bypass-office-365-protections
18 Informe de Tendències - 2n Trimestre 2018
Fuita i Robatori de Dades
Durant els darrers mesos han succeït nombrosos casos en què les dades personals dels usuaris s’han vist compromeses. Aquestes dades constitueixen una informació sensible que pot ser de gran valor en mans de ciberdelinqüents, ja sigui com a mecanisme per perpetrar atacs dirigits, extorsionar, o bé com a objecte de mercadeig en el mercat negre. Pel que fa al nombre d’incidents de fuita i robatori de dades, malgrat que encara és aviat per evidenciar-ho, s’espera que creixi arran de l’aplicació del RGPD, atès que la comunicació en un termini de 72 hores esdevé obligatòria.
Mala configuració
En un context en el qual les mesures i eines de ciberseguretat Els serveis en el núvol són habituals i necessàries per a la protecció dels actius ofereixen un sistema d’informació, és preocupant que constantment es repeteixin d'emmagatzematge i ús de incidents de fuita de dades causats per errors o una mala recursos informàtics basat configuració dels sistemes. Alguns estudis estimen que un 17% en el servei en xarxa, que 44 consisteix a oferir a l'usuari de les fuites d’informació deriven d’errors de configuració , un espai virtual, una situació que s’agreuja amb el temps. Segons un informe dels generalment a Internet, en investigadors d’IBM X-Force Researcher, les fuites d’informació què pot disposar de les per mala configuració o mal protegides van augmentar un 424% versions més actualitzades el 2017 respecte al 2016. Això suposa una tendència alarmant, de maquinari i programari. que fa pensar en la necessitat de formació i conscienciació dels usuaris del núvol i d’un major compromís per part de les empreses que ofereixen aquests tipus de servei.
Il·lustració 4. Incidents d’exposició de dades per mala configuració d’AWS3 (la data correspon a la publicació de l’incident)
Amazon Web Services S3 és un dels principals e serveis en el núvol per emmagatzematge de dades a empreses. Des de principis d’any, s’ha detectat que nombroses empreses usuàries d’aquesta plataforma no havien configurat bé el seu espai, deixant així les dades personals dels seus clients exposades. El cas més voluminós ha estat LocalBox, a l’abril, amb l’exposició de 48 milions de registres d’usuaris. Però hi
44 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf
19 Informe de Tendències - 2n Trimestre 2018
ha hagut altres casos que, amb una magnitud menor, han generat un fort impacte per la sensibilitat de les dades. Per exemple, a Los Angeles s’han vist afectats 3,2 milions de registres amb informació sensible, dels quals 200 000 feien referència a incidents d’abusos i intents de suïcidi. De la mateixa manera, TeenSafe45, l’aplicació per al control parental en mòbils d’adolescents, emmagatzemava en aquesta plataforma i sense contrasenya les dades de més de 10 000 menors d’edat.
“...les fuites d’informació per mala configuració o mal protegides al 2017 han augmentat un 424% el 2017 respecte el 2016.”
Deixant enrere la plataforma Amazon, aquest trimestre destaca perquè ha tingut lloc la major exposició de dades de l’any. Aquest juny, l'investigador de seguretat Vinny Troia de Night Lion Security va descobrir com l’empresa d'agregació de dades i màrqueting Exactis46, a Florida, exposava una base de dades que contenia prop de 340 milions de registres individuals en un servidor accessible públicament a Internet. Segons Wired, es van trobar dues versions de la base de dades que tenien al voltant de 340 milions de registres, dels quals 230 milions corresponien a consumidors i 110 milions a contactes comercials. A part de l'amplitud de la filtració, el més notable és la seva profunditat, ja que cada registre contenia més de 400 variables amb un ampli ventall de característiques específiques: si la persona fuma, la seva religió, si és propietari de gossos o gats, aficions, el tipus de roba que vesteix, etc. Això sí, afortunadament, els registres afectats no contenien números de Seguretat Social ni informació de la targeta de crèdit.
“... ha tingut lloc la major exposició de dades d’aquest any (...) 340 milions de registres, dels quals 230 milions corresponien a consumidors i 110 milions a contactes comercials.”
També ha estat notícia la cadena estatunidenca de fleques i forns, Panera Bread47, que va exposar les dades dels clients a la seva web. Malgrat les advertències per part d’un investigador de seguretat vuit mesos abans, el passat mes de març la companyia encara permetia l’accés de qualsevol a les dades de 37 milions d’usuaris sense contrasenya. Una mala configuració ha estat també responsable del fet que milers d’organitzacions hagin exposat dades confidencials a Grups de Google, la plataforma de compartició de continguts. L’impacte d’aquest incident abasta àmbits diversos com universitats, hospitals, empreses de mitjans de comunicació, institucions financeres i, fins i tot, agències governamentals. S’estima que hi ha 3000 organitzacions afectades48.
45 https://www.cbronline.com/news/teensafe-child-dataleak 46 https://www.wired.com/story/exactis-database-leak-340-million-records/ 47 https://www.darkreading.com/attacks-breaches/panera-bread-leaves-millions-of-customer-records-exposed-online/d/d-id/1331436 48 https://www.securityweek.com/thousands-organizations-expose-sensitive-data-google-groups
20 Informe de Tendències - 2n Trimestre 2018
Il·lustració 5.: Configuració plataforma Grups de Google
També s’ha vist compromesa la privacitat de 14 milions d’usuaris per un error de programari de Facebook que els canviava la configuració. Això podria haver provocat que alguns continguts destinats a ser privats es fessin públics49.
Altres incidents
L’informe 2018 Data Breach Investigation Report de Verizon indica com l’origen de les fuites d’informació, amb un 50% dels casos, són grups organitzats a la recerca de benefici econòmic. Atès que les dades personals de més valor a la dark web són els historials mèdics, és comprensible que el sector sanitari sigui víctima d’un 24% de les bretxes de seguretat50.
Il·lustració 6.: Preus de dades personals a la dark web en dòlars51
En aquesta línia, durant la primera meitat de 2018, els atacs contra el sector sanitari ja són habituals. És el cas de l’hospital Texas Health Resources52, als EUA, que va comunicar als seus pacients una bretxa de seguretat que havia permès l’accés no autoritzat a correus electrònics amb dades d’assegurança mèdica, números de la Seguretat Social, carnets de conduir, etc. També s’han detectat diversos atacs a grans empreses dedicades al comerç de béns i serveis en línia, afectant les dades personals dels seus usuaris. L’atac contra la companyia Ticketfly53, distribuïdora d’entrades per a esdeveniments, ha estat dels més rellevants, amb l’exposició de les dades de 46 milions de persones. L’atac el va realitzar un hacker anomenat IsHaKdZ, qui va fer públics fitxers amb informació com el nom, el número de telèfon o el domicili dels usuaris. L’atac es va dur a terme després que el hacker demanés un bitcoin a canvi d’informar de la vulnerabilitat que havia detectat, però l’empresa va rebutjar realitzar el pagament.
49 https://www.securityweek.com/facebook-admits-privacy-settings-bug-affecting-14-million-users 50 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf 51 https://www2.trustwave.com/GlobalSecurityReport.html 52 https://www.star-telegram.com/news/local/community/fort-worth/article208928464.html 53 https://securityaffairs.co/wordpress/73105/data-breach/ticketfly-data-breach.html
21 Informe de Tendències - 2n Trimestre 2018
Un altre fet que s’ha fet públic el juny del 2018, tot i que podria haver-se produït l’any 2016, és la fuita de dades de l’empresa britànica Dixons Cardphone. L’impacte econòmic d’aquest incident podria ser molt important, ja que afecta 5,9 milions de targetes de pagament i 1,2 milions de dades personals amb noms, adreces i correus electrònics. Aquesta fuga afecta les botigues del mateix grup Currys PC World i Dixons Travel54.
“Un dels més rellevants ha estat cap a la companyia distribuïdora d’entrades per a esdeveniments, Ticketfly , amb el qual les dades de 46 milions de persones es van veure exposades ”
En els casos en què les mesures de seguretat adoptades per les empreses dificulten poder realitzar una intrusió, pot ser més senzill i efectiu comprometre el servei d’un tercer que, per estar-hi estretament lligat, pot ser utilitzat com a mitjà per perpetrar l’atac. Això, en realitat, és una estratègia i s’anomena atac watering hole. És el cas de Ticketmaster55, que va reconèixer haver sofert una fuga de dades que podria afectar unes 40 000 persones. El dissabte 23 de juny de 2018, Ticketmaster del Regne Unit va identificar un programari maliciós en un producte d'atenció al client proporcionat per Inbenta Technologies, un proveïdor extern. L’empresa va seguir el protocol indicat pel RGPD i va informar els seus clients de l’incident pel qual podien estar afectats. Un altre exemple és el cas de la companyia proveïdora de serveis de suport en línia [24]7.ai56 que ha informat d’un atac de malware que va patir a finals de 2017. Aquest atac també va infectar les empreses que fan ús dels seus serveis: l’aerolínia Delta (a la qual proveeix serveis de xat per als clients) i la cadena de botigues estatunidenca Sears (a la qual proveeix serveis de pagament en línia) entre d’altres. Les dades de pagament de més de 100 000 usuaris van quedar exposades.
“… pot ser més senzill i efectiu comprometre el servei d’un tercer que, per estar-hi estretament lligat, pot ser utilitzat com a vehicle per perpetrar l’atac. Això, en realitat, és una estratègia i s’anomena atac watering hole.”
Però les fuites de dades no sempre vénen causades per atacs des de l’exterior i, de fet, un 28% dels casos té interns involucrats57. A l’abril, es va descobrir que un antic treballador de SunTrust58 havia robat informació com contrasenyes i números de comptes d’1,5 milions de clients. De la mateixa manera, al maig, es va saber que un exempleat de Coca-Cola59 estava en possessió de les dades d’uns 8000 treballadors, ja que s’havia endut un disc dur de la companyia.
54 http://www.itdigitalsecurity.es/vulnerabilidades/2018/06/millones-de-clientes-de-dixons-carphone-en-peligro-por-una-brecha-de-datos 55 http://cso.computerworld.es/social-security/ticketmaster-reconoce-haber-sufrido-un-hackeo-en-su-version-britanica 56 https://blog.segu-info.com.ar/2018/04/best-buy-delta-y-sears-sufren-de-robo.html 57 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf 58 https://www.securityweek.com/former-suntrust-employee-steals-details-15-million-customers 59 https://www.bleepingcomputer.com/news/security/coca-cola-suffers-breach-at-the-hands-of-former-employee/
22 Informe de Tendències - 2n Trimestre 2018
Finalment, cal destacar l’escàndol a EUA, en el qual es va descobrir com algunes empreses mercadejaven amb un servei de geolocalització dels usuaris de dispositius mòbils a temps real i, per acabar-ho d’adobar, sense disposar de cap tipus de consentiment. Arran d’aquest fet, els operadors Verizon, Sprint, AT&T i T-Mobile han anunciat que deixaran de vendre les dades d'ubicació dels seus clients a terceres empreses dedicades a l’agregació de dades60.
Il·lustració 7.: Qui hi ha darrere de les filtracions de dades, segons Verizon 61
60 https://krebsonsecurity.com/2018/06/verizon-to-stop-sharing-customer-location-data-with-third-parties/ 61 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf
23 Informe de Tendències - 2n Trimestre 2018
Atacs a Dispositius Mòbils, IoT i Routers
Els dispositius mòbils, IoT i routers estan entre els principals La Internet de les coses o objectius dels ciberatacants, sobretot a causa del menor nivell IoT és la xarxa formada de protecció en comparació a altres dispositius amb més per un conjunt d'objectes capacitat computacional, com ara ordinadors, servidors, etc. connectats a Internet que es poden comunicar entre si i també amb humans, i així transmetre i tractar Dispositius mòbils dades amb intervenció humana o sense. L’augment de l’ús d’aplicacions mòbils per realitzar operacions bancàries les està convertint en un objectiu suculent i prioritari per als cibercriminals. De fet, segons alerta RSA, s’està detectant un increment important del frau en les transaccions bancàries realitzades des del dispositiu mòbil de la víctima. Aquestes, entre el 2015 i el 2018, passen d’un 39% a un 65% del total de transaccions fraudulentes.
Il·lustració 8.: Transaccions fraudulentes62
És especialment important el frau en l’ús d’apps, que creix d’un 5% al 39% del total de transaccions fraudulentes. Considerant que s’espera un increment d’un 15% de noves 63 “Segons la Comissió descàrregues d’apps durant el 2018 fins a arribar a 205 Nacional de Mercats i la milions de noves descàrregues l’any, és previsible que aquest Competència (CNMC) el tipus de frau segueixi en augment i, a curt termini, sigui la causa nombre de línies mòbils de més de la meitat de transaccions bancàries fraudulentes. creix un 2’2% el darrer any i supera àmpliament el Els incidents més destacables dels últims tres mesos estan nombre d’habitants” relacionats amb la utilització de malware específic per a dispositius mòbils amb Android, que cobreix el 85% del mercat64. Tenint en compte les dades al conjunt de l’Estat65, s’estima que això podria suposar la gens menyspreable quantitat de 7 milions de dispositius a Catalunya.
62 https://www.rsa.com/content/dam/en/report/rsa-fraud-report-q1-2018.pdf 63 https://www.statista.com/statistics/271644/worldwide-free-and-paid-mobile-app-store-downloads/ 64 https://www.idc.com/promo/smartphone-market-share/os 65 https://www.esmartcity.es/2018/05/28/espana-registra-52-2-millones-lineas-moviles-mas-80-por-ciento-banda-ancha
24 Informe de Tendències - 2n Trimestre 2018
Destaca l’aparició d’un programari maliciós anomenat Cosiloon, el qual es caracteritza perquè ve instal·lat en el firmware dels dispositius de fàbrica. S’han comptabilitzat que estan afectats uns 100 models de smartphones de gamma baixa amb sistema Android (des de la versió 4.2 a la 6.0), entre els quals es troben companyies com ZTE, Archos, Prestigio i myPhone66.
“Segons Google, es detecta el 99% d’aplicacions malicioses abans de ser publicades... Però només un 1% pot significar milions de descàrregues i dispositius infectats”
De manera anàloga, algunes aplicacions que es poden descarregar a Google Play també incorporen codi maliciós per defecte. Segons Google, es bloqueja el 99%67 d’aplicacions malicioses abans de ser publicades, però només un 1% pot significar milions de descàrregues i dispositius infectats. De totes maneres, quan Google Play elimina les aplicacions malicioses, els cibercriminals solen tornar a intentar passar els filtres de la plataforma amb un nom o un fabricant diferent68 i 69. Cal estar alerta del tipus d’aplicacions malicioses més comunes, com falsos antivirus, videojocs, programari de retoc de fotografia o educatives70,71 i 72. Finalment, malgrat que no es tracti d’un malware, cal destacar una notícia relacionada amb l’app de la Lliga de Futbol Professional (LFP). S’ha descobert que l’aplicació podria activar el micròfon per escoltar converses privades i recopilar informació sobre la ubicació de l’usuari en cada moment. El fet és que, efectivament, sol·licita consentiment per utilitzar el micròfon tot i que, segons un comunicat de la LFP, no es graven converses, sinó fragments en codi binari. Ara bé, experts en ciberseguretat ho estan revisant i el resultat de les primeres anàlisis del codi apunten que l’app podria gravar converses73.
Dispositius IoT i routers
És imprescindible destacar com, segons publica l’informe The Hunt for IoT de F5 Labs, des de setembre fins a desembre de 2017, Espanya ha estat el país que ha rebut més atacs contra Condicions legals de l’app de la dispositius IoT. De fet, la tendència ha estat creixent i ha Lliga de Futbol Professional arribat a assolir el 22% de tots els atacs globals contra IoT al final de 2017. Una altra dada que mostra el mateix informe és que, sent Xina l’origen principal dels atacs, Espanya esdevé el seu principal objectiu (8% dels atacs) per sobre dels EUA (7% dels atacs).
66 https://blog.avast.com/android-devices-ship-with-pre-installed-malware 67 https://www.welivesecurity.com/la-es/2018/02/02/google-elimino-700000-apps-maliciosas-2017/ 68 https://www.redeszone.net/2018/05/24/google-play-protegete-apps-fraudulentas/ 69 http://www.ticbeat.com/seguridad/la-trampa-para-propagar-malware-sin-fin-en-la-google-play-store/ 70 https://www.scmagazineuk.com/fake-android-av-app-re-emerges/article/764282 71 https://nakedsecurity.sophos.com/2018/05/10/watch-out-photo-editor-apps-hiding-malware-on-google-play 72 https://www.scmagazineuk.com/38-games-and-educational-apps-kicked-out-from-google-play-store/article/765587/ 73 https://blogs.protegerse.com/2018/06/13/reflexiones-acerca-de-la-app-de-la-liga-y-el-espionaje-a-sus-usuarios/
25 Informe de Tendències - 2n Trimestre 2018
Un router és un dispositiu de maquinari que permet que diverses xarxes o ordinadors es connectin entre si. L'ús més comú del router, és l'ús que se'l dóna en una casa o oficina, on diversos sistemes aprofiten la connexió amb el router per establir connexió a Internet a través de la mateixa xarxa. 74 Il·lustració 9. Rànquing de països destinataris dels atacs contra IoT A banda dels IoT, es constata una proliferació dels atacs persistents contra routers, per tal de fer-se amb el control de les comunicacions, instal·lar un malware d’anàlisi de Un sniffer és un programa xarxa (sniffer) i poder capturar les dades que hi circulen, situat en un element de com contrasenyes, targetes de crèdit o dades personals. xarxa que captura i analitza els paquets i La quantitat de routers és altíssima i qualsevol incidència en fitxers que hi circulen i aquest àmbit implica un elevat impacte. És el cas de la n'extreu informacions. publicació d’una nova vulnerabilitat del fabricant Draytek, que converteix l’extraordinària xifra de 800 000 routers en objectiu per a atacants maliciosos. DrayTek adverteix que els seus routers són vulnerables a un exploit que permet que un atacant canviï la configuració del sistema de noms de domini (DNS). Així, Un servidor DNS (Domain les comunicacions es controlarien per mitjà d’un servidor DNS Name System) permet fraudulent que podria capturar el tràfic i dirigir les comunicacions l'accés a Internet per mitjà a llocs web falsos o perillosos75. de la consulta automàtica d'una base de dades en què hi ha enregistrats els noms de domini juntament Botnets amb les adreces IP que els corresponen. La infecció de IoTs i routers ve motivada per la facilitat d’infecció massiva i la seva integració a botnets. Així ho ha pogut comprovar un equip d'investigadors israelians, el qual ha descobert que els dispositius IoT més comuns es poden comprometre i quedar adscrits a una botnet en un termini de Una botnet és un conjunt 30 minuts. L’atacant només necessita ad quirir el dispositiu o xarxa de dispositius IoT del model en qüestió, estudiar-lo al laboratori i ja li serà infectats (bots) per un possible obtenir la informació necessària per perpetrar un atac programari maliciós que remotament76. Tanmateix, una vegada més, darrere de les s’instal·la als dispositius i botnets s’hi amaguen importants interessos econòmics, ja s'executa de manera que poden ser utilitzades de moltes maneres diferents per autònoma i automàtica. Els obtenir beneficis. Com indica Vectra en el següent gràfic de bots poden ser controlats l’informe Attacker Behavior Industry Report, el Top 3 d’usos de forma remota i utilitzats per dur a terme activitats són: activitat publicitària, mineria i activitat web diversa. criminals. Sorprèn adonar-se del poc ús que es destina a atacs DDoS que tanta preocupació i problemes generen.
74 https://f5.com/Portals/1/PDF/labs/F5_Labs_Hunt_for_IOT_Vol_4_rev30MAR18.pdf?ver=2018-03-30-105101-110 75 https://www.bitdefender.com/box/blog/iot-news/800000-draytek-routers-risk-dns-hijacking-attack-update-firmware/ 76 https://www.techrepublic.com/article/new-research-most-iot-devices-can-be-hacked-into-botnets/
26 Informe de Tendències - 2n Trimestre 2018
L’spam o correu brossa és el conjunt de missatges electrònics importuns, generalment de caràcter publicitari i sense interès per al receptor, que s'envien indiscriminadament a un gran nombre d'internautes.
Il·lustració 10. Usos de les botnets per obtenir beneficis 77
El fet que els bots siguin fàcilment infectables és clau per a la supervivència de les botnets. Fortinet ha publicat un informe que indica la persistència o, el que és el mateix, quant temps roman un malware botnet en un dispositiu. És sorprenent el fet que només un 0,5% de les infeccions detectades superen els 9 dies de vida i, la famosa botnet Mirai té una prevalença mitjana de gairebé 6 dies. Per aquest motiu, les botnets han d’estar contínuament en expansió i renovant massivament la infecció de nous bots78.
Il·lustració 11. Dies de persistència del malware botnet en un dispositiu86
En aquest àmbit, ha tingut especial repercussió el comunicat de SCADA és una aplicació l’FBI en què alertava del malware botnet VPNFilter, una infecció que permet controlar i massiva a més de 500 000 routers a 54 països. Alguns dels supervisar processos fabricants afectats van ser: Linksys, MikroTik, NETGEAR i industrials en temps real i TP-Link. El comunicat demanava als usuaris que reiniciessin el a distància. També permet router i deixessin la configuració en valor de fàbrica. Segons mostrar gràfics històrics, sembla, aquest malware, al marge de constituir una botnet amb tendències, taules amb alarmes i esdeveniments, routers infectats, permet el robatori de credencials del lloc web i etc. monitoritzar controls industrials o sistemes SCADA, com els que s'utilitzen en xarxes elèctriques, infraestructures i fàbriques.
77 https://info.vectra.ai/2018-abir 78 https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/Q1-2018-Threat-Landscape-Report.pdf
27 Informe de Tendències - 2n Trimestre 2018
Un altre exemple significatiu és el cas de la vulnerabilitat Les vulnerabilitats zero day que permet atacar routers GPON (Gigabit Passive zero day són errors en el Optical Network) del fabricant sudcoreà Dasan, el qual programari que deixen els subministra més d’un milió de dispositius a proveïdors de serveis usuaris exposats enfront 79 els ciberatacs abans que d’Internet (ISP) . Resulta que, des de l’1 de maig, almenys cinc existeixi un pegat o solució famílies botnet han estat explotant activament la vulnerabilitat alternativa. per construir la seva xarxa de bots: Mettle, Muhstik, Mirai, Hajime i Satori. És la primera vegada que es veuen tantes Una vegada que la vulnerabilitat zero day és botnets lluitant per un mateix “territori” en tan poc temps. publicada, per al La botnet de spam més gran del món, Necurs, segueix desenvolupador comença evolucionant i incorpora una nova tècnica per eludir les una carrera a defenses: envia correus electrònics amb un fitxer d’extensió .url contrarellotge per comprimit dins d’un .zip adjunt que, una vegada obert pel solucionar-ho i protegir els navegador, descarrega i executa un codi maliciós. Aquesta usuaris. botnet havia estat inactiva durant un llarg temps, però a mitjans del 2017 va tornar a estar molt present i els darrers mesos ha estat utilitzada per introduir malwares com Locky, Jaff, GlobeImposter, Dridex, Scarab i Trickbot80. La botnet Mirai, per la seva banda, continua sent notícia per la contínua capacitat d’actualitzar el seu codi i millorar les seves prestacions per fer-la més efectiva81. En aquesta mateixa línia es troba Satori que, segons han observat experts de ciberseguretat, és principalment utilitzada pels pirates informàtics per escanejar massivament Internet i minar ethereum82. És especial el cas d’una nova botnet, descoberta pels investigadors de seguretat d'Akamai, que ha fet ús d’una vulnerabilitat del protocol Universal Plug and Play (UPnP) per infectar 65 000 routers, tot i que només és una petita part d’un total de 4,8 milions de routers vulnerables repartits en 73 fabricants diferents83. El més rellevant d’aquesta vulnerabilitat és que permet ocultar el tràfic de dades dels atacants i, una vegada els routers queden compromesos, són utilitzats per diverses funcions malicioses.
79 https://www.seguridadyfirewall.cl/2018/05/hackers-estan-explotando-nueva.html 80 https://securityaffairs.co/wordpress/71837/malware/necurs-evasion-technique.html 81 https://securityaffairs.co/wordpress/73114/malware/mirai-evolution.html 82 https://securityaffairs.co/wordpress/72651/hacking/satori-botnet-mass-scanning.html 83 https://www.securityweek.com/multi-purpose-proxy-botnet-ensnares-65000- routers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%253A+Securityweek+%2528SecurityWeek+RSS+Feed%2529
28 Informe de Tendències - 2n Trimestre 2018
Intervenció de les institucions
Durant el segon trimestre del 2018 s’ha publicat un seguit de notícies relacionades amb la voluntat, per part de governs i institucions, d’intervenir diferents àmbits del ciberespai amb l’objectiu d’assolir el seu control. En alguns casos, la línia entre un excés de mesures de control i la censura pot ser incerta, però és clar que darrere d’aquestes accions no sempre s’amaguen propòsits genuïns.
Criptomonedes
Les criptomonedes són notícia per diferents motius, entre ells la mineria il·lícita, que s’ha convertit en una de les principals amenaces, com s’indica a l’apartat criptomonedes. Però, a més, també han estat notícia per les diferents intencions dels Estats d’eradicar l’anonimat en les transaccions amb criptomonedes, la qual cosa ha estat aplaudida pel sector bancari. Els motius principals són la necessitat de tenir un control fiscal i prevenir l’ús d’aquestes monedes pel cibercrim. Així, la cimera del G2084 fa referència a aquesta necessitat de regular l’espai de les criptomonedes. En una part del seu informe es comenta: “Ens comprometem a implementar els estàndards del GAFI (Grup d’Acció Financera Internacional)85 en matèria de Les fake news o cripto-actius (...) i reclamem la seva implementació global. desinformació són Demanem als organismes que estableixin estàndards històries falses que internacionals que condueixin al monitoratge dels cripto-actius i semblen ser notícies, els seus riscos, d'acord als seus mandats, i avaluïn les accions difoses a través de xarxes multilaterals necessàries”. En resum, s’insta que els Estats socials, portals de notícies regulin amb l’objectiu de tenir el control de l’ús de les o altres mitjans, creades criptomonedes. amb l’objectiu d’enganyar o induir a un estat de desinformació deliberada en la ciutadania. La Fake news o desinformació motivació pot ser econòmica, ja que la seva La lluita contra les notícies falses està sent tractada com un publicació esdevé un problema de seguretat nacional per molts Estats, ja que es reclam de clics per als considera una amenaça potencial per la capacitat d’influir en visitants d’una web. És els resultats electorals i en l’estabilitat social mundial. més greu quan la motivació és obtenir un La credibilitat de la informació ha de ser manifesta, motiu pel qual rèdit polític o un es demana transparència i que els ciutadans tinguin informació posicionament estratègic clara sobre les fonts de les notícies i el seu finançament. privilegiat, a través de la Mitjançant un grup d’experts, la Comissió Europea86 ha inducció a errors, la elaborat un informe on parla d’establir recomanacions per manipulació de decisions lluitar contra les notícies falses. De moment, intenta no entrar personals, el desprestigi o l’enaltiment de persones o en mesures concretes per la voluntat de garantir la llibertat entitats. d’expressió i deixa als estats membres la llibertat d’implementar les seves pròpies mesures per, posteriorment, avaluar-ne
84 https://back-g20.argentina.gob.ar/sites/default/files/media/comunicado_espanol_vf.pdf 85 http://www.fatf-gafi.org/ 86 https://ec.europa.eu/digital-single-market/en/news/final-report-high-level-expert-group-fake-news-and-online-disinformation
29 Informe de Tendències - 2n Trimestre 2018
l’impacte. En aquest sentit, només França i Alemanya, amb una àmplia normativa en matèria de notícies que incitin l’odi, han donat passos decidits. Itàlia i el Regne Unit, probablement, seran els següents en seguir els seus passos87. La Comissió Europea, en canvi, ha tingut clar dirigir la responsabilitat als mitjans digitals, que s’han hagut de comprometre a ser rigorosos amb la informació que publiquen o fan ressò. De fet, després d’un ultimàtum, alguns actors importants com Facebook, Twitter, Youtube, Google, Microsoft i Snapchat, s’han adherit a un codi de conducta per lluitar de manera efectiva contra la desinformació. Entre altres compromisos, eliminaran missatges que incitin l’odi en menys de 24 hores i formaran els seus treballadors per examinar els seus continguts de manera ràpida i eficaç88. Ràpidament, ja es fa evident l’impacte de les accions preses per part dels mitjans de difusió digital. A Barcelona, ha estat notícia l’anunci de Facebook d’instal·lar un centre de control de continguts qualificats com a “nocius”89. Aquest centre pretén tenir un control sobre les notícies falses o de continguts que contravinguin les polítiques de les normes de la xarxa social. Per la seva banda, Twitter introdueix verificacions en el procés de registre per evitar bots i altres mesures que han permès eliminar un 214% més de spam respecte a l’any passat90.
Aliances globals
És destacable com la ciberseguretat està transcendint més enllà de les capacitats individuals dels Estats o de les entitats. Davant d’un cibercrim globalitzat i tecnològicament ben preparat, es fa imprescindible una coordinació global que garanteixi fer-li front d’una manera efectiva.
“... la primera Aliança Global de Seguretat1 entre operadores de telecomunicacions conformada per Etisalat (Emirats Àrabs Units), Singtel (Singapur), SoftBank (Japó) i Telefónica (Espanya), oberta a noves incorporacions (...) té una cobertura de 1200 milions de clients i està present a 60 països... ”
En aquesta línia, 30 companyies tecnològiques i de ciberseguretat (Facebook, Cisco, Hp, Microsoft, Nokia, Oracle, Trend Micro...) han signat un acord91 comprometent- se a treballar a escala global per la protecció dels seus usuaris i dels seus productes davant d’atacs maliciosos. No disposa uns compromisos concrets, però posiciona la ciberseguretat en primera línia.
87 http://www.expansion.com/juridico/actualidad-tendencias/2018/04/24/5adf6cf5468aeb3f4f8b46a8.html 88 https://elpais.com/tecnologia/2016/05/31/actualidad/1464711881_734190.html 89 https://cincodias.elpais.com/cincodias/2018/05/04/companias/1525462790_976730.html 90 http://www.eleconomista.es/tecnologia/noticias/9236076/06/18/Twitter-actualiza-su-sistema-de-registro-contra-el-spam-requiriendo-un-numero-de- telefono-y-cuenta-de-email.html 91 https://cybertechaccord.org/
30 Informe de Tendències - 2n Trimestre 2018
Un altre tipus és la primera Aliança Global de Seguretat92 entre operadores de telecomunicacions conformada per Etisalat (Emirats Àrabs Units), Singtel (Singapur), SoftBank (Japó) i Telefónica (Espanya), oberta a noves incorporacions. L’acord significa col·laborar en la lluita contra la ciberdelinqüència a nivell global, té una cobertura de 1200 milions de clients i està present a 60 països, amb un total de 22 Centres d’Operacions de Seguretat (SOC) i més de 6000 experts en ciberseguretat. La intenció d’aquesta iniciativa és compartir recursos i coneixement per tal que els seus membres puguin oferir millors serveis de ciberseguretat i innovació als seus clients. Amb iniciatives d’aquest tipus queda palesa la creixent preocupació per la ciberseguretat. Així ho corrobora un informe del World Economic Forum que situa la ciberseguretat, en relació amb les amenaces a nivell global, només per darrere de les catàstrofes provocades per les inclemències del
temps i els desastres naturals.
Impacte
Probabilitat
Il·lustració 12.: Mapa global de riscos 2018 del World Economic Forum 93
92 http://www.expansion.com/empresas/tecnologia/2018/04/12/5acf42f446163f1c428b45e7.html 93 http://www3.weforum.org/docs/WEF_GRR18_Report.pdf
31 Informe de Tendències - 2n Trimestre 2018
Control d’Internet
Les accions destinades al control de les criptomonedes i les fake news, amb finalitats a priori positives, coexisteixen amb altres accions dels Estats que en,, essència persegueixen el control d’Internet.
Il·lustració 13.: Llibertat d’Internet a cada país 94
És el cas de Telegram, una aplicació de missatgeria instantània (200 milions d’usuaris i en constant creixement), que ha estat notícia perquè les autoritats russes tracten d’impedir la seva utilització. El motiu oficial és que els propietaris del programari es neguen a facilitar el desxifrat del contingut dels missatges95, cosa que la legislació russa obliga per motius de seguretat nacional. Això ha fet que el Roskomnadzor (Sevei Federal de Supervisió de les Telecomunicacions) hagi bloquejat nombroses IPs, la qual cosa ha afectat col·lateralment molts serveis de Google que les utilitzaven96. És similar el cas d’Iran, aliat de Rússia. Després de bloquejar temporalment el servei de Telegram durant el mes de gener per contenir unes protestes opositores generalitzades, el govern ha decidit revocar definitivament la seva llicència de servei97. Les motivacions van dirigides a preservar la seguretat nacional i passen a engrossir la prohibició d’ús de Twitter i Facebook. Un altre cas de la intervenció d’un Estat a Internet ha succeït a Algèria98 on, directament, s’ha apagat Internet a tot el país durant algunes hores. Segons el govern d’Alger, el motiu d’una mesura tan severa ha estat impedir que es torni a repetir la situació en època d’exàmens de l’any passat, quan les proves es van filtrar massivament a Internet. Estigui o no justificat, presenta un greu precedent.
94 https://freedomhouse.org/sites/default/files/inline_images/FOTN_2017_WorldMap_900px.jpg 95 http://www.ticbeat.com/seguridad/telegram-prohibido-en-rusia-en-un-nuevo-ataque-a-las-libertades-civiles/ 96 http://www.lavanguardia.com/internacional/20180413/442516305605/tribunal-ordena-bloqueo-inmediato-telegram-rusia.html 97 http://www.eleconomista.es/tecnologia/noticias/9106507/04/18/Iran-revoca-la-licencia-a-Telegram-e-impedira-su-uso-en-el-pais.html 98 https://www.xataka.com/seguridad/argelia-adopta-medidas-extremas-para-acabar-tramposos-pruebas-admision-apagar-Internet-todo-pais
32 Informe de Tendències - 2n Trimestre 2018
Ciberamenaces detectades
A partir del nombre d’incidents que han tingut lloc durant el segon trimestre del 2018, a continuació es mostra l’evolució de les cinc amenaces més rellevants i se’n destaquen els esdeveniments més significatius.
Trimestre 2 1T Trimestre 1 Amenaces99 1 2 Difusió de programari maliciós 2 1 Compromís d’informació 3 4 Frau econòmic 4 8 Denegació de serveis intencionats 5 3 Accés lògic no autoritzat Puja Baixa Es manté Taula 1 – Tendències detectades durant el 2n trimestre del 2018
1. Difusió de programari maliciós
L’amenaça de “difusió de programari maliciós” recull qualsevol El malware o badware és enviament, intencionat o no, de programari maliciós a través un tipus de programari que dels sistemes d’informació. Es tracta d’una de les amenaces té com a objectiu infiltrar- amb major presència, ja que engloba tots els mitjans pels se o malmetre un equip o quals els ciberdelinqüents propaguen malware. Al segon sistema informàtic sense el trimestre de 2018, la difusió de malware ha estat el tema més coneixement del propietari. En funció de l’efecte que rellevant, tenint en compte el gran nombre de casos haguts i el causi sobre l’equip es grau d’afectació generat. classifiquen en: virus, D’entrada, s’han de destacar diversos atacs amb ransomware. A cucs, troians, rootkits, l’abril se’n va detectar un nou tipus a Brasil anomenat scareware, spyware, RansSIRIA100, el qual xifra els arxius de la víctima i demana un adware, crimeware, etc. rescat, com és habitual en un ransomware. Ara bé, els ingressos que els atacants obtenen són entregats als refugiats de Síria. Un 101 Un troià és un tipus de altre cas de ransomware és StalinLocker , el qual bloqueja la malware que es fa passar pantalla de l’ordinador de la víctima i inicia un compte enrere de per un altre de legítim i, un deu minuts amb la imatge de Stalin i l’himne de la Unió Soviètica. cop instal·lat a l’equip, L’StalinLocker és capaç d’esborrar el disc dur sencer en aquests permet a l’atacant prendre deu minuts si no es paga el rescat a l’atacant. Finalment, pel seu el control de l’equip de la gran impacte, destaca l’incident de ransomware al Ministeri víctima. d’Energia d’Ucraïna102, concretament als sistemes en línia de la capital de Geòrgia103. Malgrat les notícies d’atacs de ransomware, és adequat afirmar que estan deixant lloc al malware de mineria104 que, segons es detalla a l’apartat Mineria, ja impacta sobre una de
99 Catàleg d’amenaces del CESICAT 100 https://www.bleepingcomputer.com/news/security/ranssiria-ransomware-takes-advantage-of-the-syrian-refugee-crisis/ 101 https://www.redeszone.net/2018/05/15/stalinlocker-vaciar-equipo-10-minutos/ 102 https://www.scmagazineuk.com/ukraine-energy-ministry-suffers-ransomware-attack--bitcoins-demanded/article/760618/ 103 https://threatpost.com/samsam-ransomware-evolves-its-tactics-towards-targeting-whole-companies/131519/ 104 https://threatpost.com/metamorfo-targets-brazilian-users-with-banking-
33 Informe de Tendències - 2n Trimestre 2018
cada quatre empreses105. El fet és que els atacs amb Un exploit és una eina de ransomware són menys però estan més dirigits a empreses programari dissenyada per perquè ofereixen majors beneficis. Ho demostra la tendència a aprofitar una vulnerabilitat l’alça del cost mig del rescat per equip infectat: 373 $ el o error i aconseguir el 2015, 1077 $ el 2016106 i 1400 $ el 2017107. comportament no desitjat d’un dispositiu per part del Probablement a causa de la baixada en el valor de les seu propietari. criptomonedes, la mineria està deixant de ser tan lucrativa i ja s’observa el creixement d’altres formes de frau alternatives. En especial, durant el darrer trimestre s’ha identificat la proliferació de troians bancaris. Un d’ells, que ja El ransomware o 108 programari de segrest és s’ha tractat en l’apartat de phishing, ha estat el cas de Panda . un programari maliciós que Derivat del famós malware Zeus, Panda fou descobert el 2016 i restringeix totalment o des de llavors ha seguit acumulant tècniques que el converteixen parcialment l'accés als en una autèntica amenaça per ordinadors Windows, ja que fitxers d'un dispositiu fins permet el robatori de credencials bancàries des d’entorns molt que no es paga una diversos: injecció de codi, captures de pantalla, còpia determinada quantitat de d’informació del porta-retalls i execució d’exploits. També s’ha diners. sentit a parlar de Metamorfo109, un altre tipus de troià bancari. En aquest cas, una campanya de spam amb enllaços de descàrrega del codi maliciós ha afectat els ordinadors de diverses companyies brasileres. També s’han detectat troians bancaris en dispositius Android, com és el cas de MysteryBotcom, identificat pels investigadors de ThreatFabric. Sembla que encara està en fase de desenvolupament i no s’ha difós massivament, però realça els esforços dels cibercriminals per atacar els sistemes de pagament dels usuaris110. El market de Google Chrome també s’ha vist afectat durant aquest trimestre per malwares. Un exemple d’això és el complement per bloquejar la publicitat dels llocs web AdBlock111, del qual s’han trobat cinc còpies falses que contenien codi maliciós i que, en descarregar-les, obtenien el control del navegador i accedien a la informació de l’usuari. Aquest malware ha estat descarregat més de 2 milions de vegades. En últim lloc, cal destacar el cas del programari maliciós multifuncional Roaming Mantis, analitzat per Kapersky, que s’ha estès ràpidament per tot el món. El malware utilitza routers compromesos per desplegar les seves múltiples funcions: infectar smartphones i tauletes Android, redirigir els dispositius iOS a un lloc de phishing i executar l’script miner de CoinHive en ordinadors d’escriptori i portàtils112. Potser aquest és un exemple del futur del malware que, per assegurar l’èxit de l’atac, esdevindrà més polivalent i atacarà des de diferents vessants.
105 https://blog.segu-info.com.ar/2018/06/el-cryptojacking-afecta-casi-el-40- de.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%253A+NoticiasSeguridadInformatica+%2528Noticias+de+Seguridad+de+la +Informaci%25C3%25B3n%2529 106 https://www.symantec.com/security-center/threat-report 107 https://www.redeszone.net/2017/11/02/victimas-ransomware-pagar-rescate/ 108 https://threatpost.com/panda-banking-trojan-diversifies-into-cryptocurrency-porn-other-targets/131911/ 109 http://threatpost.com/metamorfo-targets-brazilian-users-with-banking-trojans/131441/ 110 https://threatpost.com/new-banking-trojan-can-launch-overlay-attacks-on-latest-android-versions/132858/ 111 http://unaaldia.hispasec.com/2018/04/software-malicioso-escondiendose-detras.html 112 https://community.blueliv.com/#!/s/5b06715282df413e3a664469
34 Informe de Tendències - 2n Trimestre 2018
2. Compromís d’informació
L’amenaça de “compromís d’informació” inclou la publicació Github és una plataforma d’informació, credencials d’accés als sistemes d’informació creada per facilitar el i, habitualment, encapçala les posicions de rellevància perquè desenvolupament altres amenaces impliquen que la informació quedi compromesa. col·laboratiu de software. Durant el segon trimestre de 2018 són nombrosos els incidents, Permet allotjar projectes de forma pública a la web alguns ja detallats a Fuita i Robatori de Dades, que l’han convertit gratuïtament, tot i que en la segona amenaça més rellevant. també es poden allotjar de Destaca com la plataforma que allotja projectes de codi obert forma privada pagant una GitHub113, a principis del mes de maig, advertia alguns dels seus subscripció mensual. A usuaris d’un error de seguretat que bolcava les contrasenyes en Github es pot trobar tot text pla. Una cosa semblant va passar amb la pàgina web de tipus de codi, fins i tot codi 114 de programari maliciós. T-Mobile , on es va descobrir una vulnerabilitat que permetia a qualsevol accedir a les dades personals dels clients.
D’altra banda, poc després de l’incident amb Cambridge Una cookie o galeta és un Analytica115, Facebook repeteix protagonisme en aquest fitxer amb informació sobre apartat116. Uns investigadors de la Universitat de Cambridge van els hàbits, les preferències utilitzar una aplicació, anomenada MyPersonality, per realitzar i les pautes de navegació unes enquestes a la xarxa social i van desar-ne les respostes en d'un internauta que visita una pàgina web insegura. Així, podrien haver exposat les una pàgina web, el respostes i les dades personals de més de 3 milions d’usuaris servidor l’envia al disc dur de l'ordinador de durant quatre anys. Finalment, el passat 7 d’abril, l’aplicació va l'internauta mitjançant el deixar d’estar activa a la xarxa social. navegador. Els malwares han estat també una manera de comprometre 117 la informació, com en el cas de TeleGrab , un programari maliciós rus que es va detectar al mes de maig i que roba les L’autenticació de doble credencials, cookies de navegadors, dades de la memòria cau i factor és un tipus arxius de Telegram. Al mateix temps, apareixien diversos vídeos d’autenticació que es basa a YouTube que explicaven com fer servir la informació robada en un sistema de doble per tal d’obtenir els xats i els contactes dels usuaris. clau, és a dir, en què necessitaríem dos o més També ha estat rellevant l’anunci d’Elon Musk, Director General elements per iniciar sessió. de Tesla, en què comunicava que un empleat havia exportat Elements relacionats amb: grans quantitats de dades, altament sensibles, a tercers "una cosa que sabem", desconeguts. El més greu és que les mesures de control de "alguna cosa que tenim" i / privilegis d’accés a la informació o eren inexistents o no van o "alguna cosa que som ". funcionar, ni disposaven d’un sistema de monitoratge per detectar el trànsit de gran volum de dades, imprescindible per identificar i bloquejar la filtració no autoritzada118. Un altre robatori és el de l’empresa MyHeritage, dedicada a ADN i genealogia, afectant dades de 92 milions de clients, correus electrònics i contrasenyes. Tot i que no es coneix si s’ha explotat, ha servit perquè l’empresa introdueixi criteris de caducitat de contrasenyes i autenticació de doble factor119.
113 https://www.redeszone.net/2018/05/02/github-contrasenas-texto-plano/ 114 https://www.engadget.com/2018/05/25/t-mobile-bug-let-anyone-access-personal-info/ 115 https://www.securityweek.com/facebook-says-87-million-may-be-affected-data-breach 116 https://www.engadget.com/2018/05/14/researchers-may-have-exposed-facebook-quiz-data-on-3-million-use/ 117 https://www.scmagazineuk.com/telegrab-information-stealer-swipes-telegram-cache-and-key-files/article/766548/ 118 https://www.securityweek.com/tesla-breach-malicious-insider-revenge-or-whistleblowing 119 https://www.securityweek.com/92-million-user-credentials-lost-myheritage
35 Informe de Tendències - 2n Trimestre 2018
Malgrat tot, a vegades el compromís d’informació no és malintencionat ni es deu a cap error humà. A mitjans d’aquest trimestre, una parella estatunidenca va advertir que l’assistent de veu Alexa120 els havia estat gravant una conversació i l’havia enviat a un dels seus contactes. Tot i que en un principi havien pensat que es tractava d’un hacker, més tard van descobrir que l’assistent de veu havia mal interpretat una paraula que sonava com el seu nom, Alexa i, més tard, havia entès “enviar missatge”.
3. Frau econòmic
L’amenaça de “frau econòmic” inclou els atacs que, mitjançant l’engany, busquen aconseguir un benefici econòmic. Aquest segon trimestre de 2018, l’amenaça ha pujat en importància a causa d’un gran nombre d’accions dirigides al sector bancari. Com s’ha tractat prèviament en l’amenaça difusió de programari maliciós, els darrers mesos han mostrat diversos casos de troians bancaris: Panda, Metamorfo, MysteryBotcom, etc. Però no han estat els únics incidents en el sector bancari. Com el cas del Banco de Chile, que va patir un ciberatac portat a terme per cibercriminals internacionals que van aconseguir robar uns 10 milions de dòlars121. De manera similar, a Mèxic, un grup organitzat de hackers va fer ús d’una vulnerabilitat en el sistema de pagaments interbancaris nacional per desviar uns 20 milions de dòlars des de cinc bancs mexicans diferents122. Encara en el sector bancari, als EUA un home va robar les identitats de diverses persones a partir de la base de dades de Reno123, per crear més de 8000 comptes bancaris electrònics, des dels quals pretenia enviar-se fraudulentament 3,5 milions de dòlars a través de xecs i transferències electròniques. Un altre cas de frau va se impedit per l’Europol que, en una operació internacional, va detenir 95 estafadors de comerç electrònic. Els sospitosos arrestats durant l'operació són responsables de més de 20 000 transaccions fraudulentes amb targetes de crèdit compromeses, per un import estimat superior a 8 milions d'euros. És destacable que, avui dia, aproximadament el 80% del frau de targetes es fa en línia124. A part dels atacs al sistema bancari, són habituals els atacs a empreses que, igualment, permeten optar a importants sumes de diners. Per exemple, s’ha descobert un grup de hackers nigerians anomenats Gold Galleon125 que tenia com a objectiu empreses de transport marítim. Enviaven correus de phishing als responsables de transaccions empresarials per tal de capturar les seves credencials i així robar milions de dòlars.
120 http://www.ticbeat.com/tecnologias/cuidado-tu-altavoz-inteligente-podria-grabar-y-compartir-tu-conversacion/ 121 https://www.scmagazineuk.com/wiper-attack-at-chilean-bank-provided-cover-for-10m-swift-heist/article/773649/ 122 https://www.scmagazineuk.com/third-party-software-vulnerability-results-in-mexican-bank-heist/article/765886/ 123 https://www.darkreading.com/attacks-breaches/reno-man-created-8000-fake-online-accounts-via-stolen-identities/d/d-id/1331670 124 https://www.europol.europa.eu/newsroom/news/biggest-hit-against-online-piracy-over-20-520-Internet-domain-names-seized-for-selling-counterfeits 125 https://www.securityweek.com/nigerian-hackers-attempt-steal-millions-shipping-firms
36 Informe de Tendències - 2n Trimestre 2018
També cal destacar la rellevància que estan prenent els falsos suports tècnics126 que, entre el 2017 i el 2018, han augmentat un 24%. Aquests atacs consisteixen a fer creure a l’usuari que el seu ordinador té un error i, així, fer que pagui una reparació o instal·li un software que conté malware. Una de les companyies més afectades en aquest tema és Microsoft, que l’any passat va rebre més de 153 000 reports d’usuaris informant d’aquest problema, dels quals un 15% havia estat estafat amb entre 200 i 400 dòlars i, fins i tot, un holandès havia perdut uns 89 000 euros.
Il·lustració 14.: Estafes de fals suport tècnic reportades a Microsoft
Finalment, destaca un atac dirigit als usuaris de Facebook127 per suplantació del propietari de la xarxa social, Mark Zuckerberg. Es va comunicar a un gran nombre d’usuaris que havien guanyat un premi i que, per tal de rebre’l, havien d’enviar centenars o, en alguns casos, milers de dòlars com a despeses d’enviament.
4. Denegació de serveis intencionats
L’amenaça de “denegació de serveis intencionats” impossibilita l'accés als serveis i recursos durant un període indefinit de temps. Durant el segon trimestre de l’any, respecte al primer, aquesta amenaça ha estat la que ha pujat d’una manera més significativa. Una de les notícies més destacables ha estat el tancament de la pàgina web WebStresser128 per part de l’Europol. Aquest portal era el més gran del món en oferta de serveis d’atac DDoS per encàrrec i es calcula que havia estat el responsable de 4 milions d’atacs.
126 https://www.redeszone.net/2018/04/24/crecimiento-falsos-soportes-tecnicos/ 127 https://www.engadget.com/2018/04/26/fake-zuckerbergs-scam-facebook-users-for-cash/ 128 https://www.adslzone.net/2018/04/25/webstresser-cierre-ataques-ddos/
37 Informe de Tendències - 2n Trimestre 2018
Pel que fa a atacs, no s’ha repetit cap atac de la magnitud rècord El DDoS (Distributed d’1,7 Tbps, com va succeir el primer trimestre de l’any. No Denial of Service) és un obstant això, s’ha pogut observar com la pàgina web de les atac originat per una xarxa eleccions de Tennesse129 quedava fora de servei durant una de dispositius o botnet. L’objectiu és causar la hora, ara bé, els investigadors afirmen que no va afectar a les indisponiblitat d’un servei i dades. Això es produïa a conseqüència d’un atac DDoS que impedir l’accés als usuaris enviava peticions des de més de 100 països. En aquesta legítims, amb la saturació mateixa línia, s’ha observat com els bancs holandesos ABN del tràfic i el processat Amro i Rabobank també han estat atacats per DDoS130, computacional que els inhabilitant el servei de banca online durant hores. Curiosament, servidors són capaços de aquestes mateixes entitats, juntament amb ING, ja havien estat suportar. víctimes d’atacs DDoS durant el mes de gener. A banda d’atacs DDoS, es destaca com s’ha descobert un nou malware amb capacitat d’inhabilitar els sistemes de seguretat d’equips industrials. El codi ha estat realitzat pel grup Xenotime i inclou parts de diferents codis maliciosos ja coneguts com Triton, Trisis i Hatmane. Ha estat descobert quan es perpetrava l’atac contra una planta de petroli i gas a l’Aràbia Saudita, amb tecnologia Schneider Electric’s Triconex, aprofitant una vulnerabilitat de zero day. Cal estar alerta perquè, segons indica l’empresa de seguretat Dragos, aquest malware segueix en actiu i es dirigeix contra diferents tecnologies de controladors, no només Triconex, a múltiples instal·lacions del planeta131.
Il·lustració 15.: Infografia de l’Europol de com els atacs DDoS paralitzen internet132
129 https://www.engadget.com/2018/05/11/cyberattack-shuts-down-tennessee-election-website/ 130 http://ddosattacks.net/ddos-attacks-again-target-dutch-bank/ 131 https://www.securityweek.com/hackers-behind-triton-malware-attack-expand-targets 132 https://www.europol.europa.eu/publications-documents/how-can-ddos-attacks-paralyse-internet
38 Informe de Tendències - 2n Trimestre 2018
5. Accés lògic no autoritzat
L’amenaça “accés lògic no autoritzat” fa referència a l’accés als sistemes d’informació no autoritzat o sense el consentiment de l’administrador. Durant aquests dos primers trimestres de l’any, aquesta amenaça s’ha mantingut estable. Aquesta amenaça i el “compromís d’informació” van fortament lligades, atès que després de l’accés no autoritzat d’un atacant “La majoria a un sistema d’informació, amb alta probabilitat, la informació en d'implementacions SAP resultarà compromesa. És el cas de l’incident contra l’startup encara tenen una Careem de Dubai133, similar al servei d’Uber, en què uns vulnerabilitat que permet cibercriminals van aconseguir accés a les dades de 14 milions l’accés remot al sistema d’usuaris, incloent noms dels clients, conductors, correus per extreure dades, tot i que va ser reportada fa 13 electrònics, números de telèfon i dades de viatges. Ara bé, no hi anys.” ha evidències que les contrasenyes o les dades de les targetes de crèdit s’hagin vist afectades, ja que es troben en un servidor extern amb protocols específicament segurs. Un altre cas detectat ha estat amb relació al portal Freedom of Information de Nova Escòcia134. Un adolescent ha estat acusat d’accedir-hi i descarregar més de 7000 registres amb informació sensible. Aquesta notícia ha generat polèmica perquè el govern no va informar de la fuita fins a una setmana després de la detecció de l’incident. A San Francisco, novament, un adolescent hackejava el sistema del seu institut amb l’objectiu de falsejar les notes. En aquest cas, l’accés va ser possible a partir d’un atac previ de phishing que va permetre a l’estudiant obtenir les credencials d’accés d’un professor135. Finalment, encara que no es tracti d’un atac, cal destacar el descobriment d’una vulnerabilitat a l’aplicació Beep de Linux136, la qual no s’actualitza des de 2013 i s’utilitza per controlar la senyalització amb l’altaveu intern de l’ordinador. Si bé de moment encara no s’ha detectat cap atac que en faci ús, la vulnerabilitat és greu perquè permet a l’atacant escalar privilegis d’administrador.
133 https://nakedsecurity.sophos.com/2018/04/25/ride-hailing-service-careem-lost-14-million-users-data-in-january/ 134 https://www.bleepingcomputer.com/news/security/teenager-charged-for-nova-scotia-freedom-of-information-web-portal-breach/ 135 https://nakedsecurity.sophos.com/2018/05/15/police-dog-sniffs-out-usb-drive-to-snare-school-hacker/ 136 https://www.securityweek.com/vulnerabilities-found-linux-beep-tool
39 Informe de Tendències - 2n Trimestre 2018
40 Informe de Tendències - 2n Trimestre 2018
Conclusions
La intensa activitat dels ciberdelinqüents demostra una cerca constant de fonts de finançament diverses i una predilecció per les més lucratives. Mentre que l’any 2017 va ser el boom dels atacs amb programari de segrest (ransomware), l’inici del 2018 ha mostrat com aquesta pràctica ha deixat lloc a la mineria il·lícita (cryptojacking). Un canvi de tendència motivat, probablement, pel fet que les mesures de prevenció contra el ransomware ja estan sorgint efecte i perquè no apareixen noves famílies de codi que permetin infeccions massives. Però en el cibermón tot va molt ràpid. El cryptojacking és un bon negoci quan les criptomonedes tenen un alt valor al mercat, però es preveu que la seva cotització caigui amb l’aparició de regulacions més restrictives. Addicionalment, l’aparició de nous pegats i versions de software dificultaran la mineria il·lícita. Tot plegat són mals auguris per al cryptojacking que obligaran els ciberdelinqüents a renovar-se i, una vegada més, cal estar preparats pel nou escenari. Cada vegada més, els ciberdelinqüents cerquen aproximar- se a les fonts del diner a través dels diversos sistemes de pagament. Per fer-ho, requereixen atacs complexos, sovint explotant una vulnerabilitat i evitant ser detectats. Aquest fet evidencia un diferencial tecnològic cada vegada més gran entre les noves estratègies d’atac i aquelles més tradicionals, encara vigents i productives. En conseqüència, sorgeix un ampli espectre d’amenaces de diferents tipologies que demanden una resposta adequada i específica per a cadascuna d’elles. En aquesta partida d’escacs contra els ciberatacs, les institucions governamentals ja prenen posicions, tot i que el seu interès principal són les fake news i les criptodivises o, el que és el mateix, l’equilibri social i econòmic. Per la seva banda, en el sector privat tot just es defineixen grans aliances mundials amb l’objectiu comú de sumar esforços per aconseguir serveis i tecnologies digitals més segures. Aquestes iniciatives, encara en fase preliminar, han d’afanyar-se a proporcionar avenços tecnològics que canviïn les regles del joc (control d’accés biomètric, intel·ligència artificial, blockchain, etc.) i permetin fer un pas decidit en la direcció d’una societat digital més segura.
41
ciberseguretat.gencat.cat @CESICAT a juliol de 2018
15
Una mirada a la ciberseguretat industrial, CESICAT
Una mirada a la ciberseguretat industrial
El contingut d’aquesta guia és titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:
Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya. Llicenciada sota la llicència CC BY-NC-ND. Aquesta guia es publica sense cap garantia específica sobre el contingut.
Aquesta llicència té les particularitats següents: Vostè és lliure de:
Copiar, distribuir i comunicar públicament l’obra.
Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dóna suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca
- 2 - Una mirada a la ciberseguretat industrial
Índex
RESUM EXECUTIU ...... 5 1. INTRODUCCIÓ ...... 11 1.1 A qui va adreçat el document ...... 11 1.2 Objectiu i abast del document ...... 11 2. VISIÓ GENERAL DE LA CIBERSEGURETAT INDUSTRIAL ...... 13 2.1 Seguretat: Safety vs Security ...... 13 2.1.1 Safety ...... 14 2.1.2 Security ...... 14 2.2 Casos i evolució ...... 15 3. DIFERÈNCIES ENTRE ENTORNS OT I IT ...... 16 4. IIOT A LA INDÚSTRIA ...... 19 4.1 Sistemes aïllats ...... 19 4.2 Sistemes integrats ...... 20 4.3 Nous riscos IIoT ...... 21 5. AMENACES EN ENTORNS OT I PRINCIPALS VULNERABILITATS ...... 23 5.1 Amenaces internes ...... 23 5.2 Amenaces externs ...... 23 5.3 Vulnerabilitats ...... 25 6. TÈCNIQUES DE RECOLLIDES DE DADES EN XARXES OT ...... 27 6.1 Principals tècniques de recollida d’informació ...... 28 6.1.1 Footprinting ...... 28 6.1.2 Fingerprinting ...... 28 6.2 Principals tècniques de construcció d’un atac ...... 29 7. CARACTERÍSTIQUES DE LES AMENACES PERSISTENTS AVANÇADES EN ELS ÀMBITS INDUSTRIALS ...... 31 7.1 Característiques principals ...... 31 7.2 Principals objectius ...... 32 7.3 Principals conseqüències ...... 32 7.4 Fases d’una Amenaça Persistent Avançada ...... 32 8. SOLUCIONS I RECOMANACIONS ...... 34 8.1 Tecnologia ...... 34 8.1.1 Segmentació de xarxes ...... 35 8.1.2 IDS industrials ...... 37 8.2 Procediments ...... 38 8.3 Persones ...... 39 9. PLA D’ACCIÓ EN L’ÀMBIT DE LA CIBERSEGURETAT INDUSTRIAL ...... 40
- 3 - Una mirada a la ciberseguretat industrial
I. ANNEXOS ...... 42 Annex 1. Normes i estàndards ...... 42 Annex 2. ANSI / ISA 95 – L’estàndard Internacional de l’Automatització Industrial ...... 43 Annex 3. Principals protocols de comunicació ...... 44 Annex 4. Referències ...... 45
- 4 - Una mirada a la ciberseguretat industrial
Glossari
Acrònim Nom Descripció APT Advanced Persistent Threat Amenaça persistent avançada, atac a gran escala, subreptici, sofisticat, continu i dirigit a una entitat específica. ARP Address Resolution Protocol Protocol d'Internet destinat a trobar l'adreça física o de nivell més baix d'un sistema en una xarxa a partir de la seva adreça IP. ANSI American National Standards Organització privada nord-americana sense ànim Institute de lucre encarregada de desenvolupar estàndards i normatives. CISO Chief Information Security Officer Executiu d'alt nivell responsable del desenvolupament i implementació d'un programa de seguretat de la informació, que inclou procediments i polítiques dissenyades per protegir les comunicacions, els sistemes i els actius empresarials tant de les amenaces internes com externes. CDP Centre de Processament de Instal·lació on s’allotgen sistemes informàtics i Dades components associats, com són les teleco- municacions i sistemes d'emmagatzematge i on es concentren els recursos necessaris per al processament de la informació d'una organització. CRM Customer Relationship Procés pel qual una empresa identifica els seus Management clients i en personalitza el tractament per mitjà de programes informàtics que tenen en compte de manera conjunta les dades sobre atenció al client, vendes i estratègies de màrqueting. CVE Common Vulnerabilities and Comunitat internacional de ciberseguretat que Exposures manté un catàleg de les vulnerabilitats i les exposicions de seguretat conegudes. DCS Distributed Control System Un sistema automatitzat de control que es distribueix a tota la màquina per proporcionar instruccions a diferents parts de la màquina. DMZ Demilitarized Zone Zona desmilitaritzada. Subxarxa física o lògica d'una organització que se situa entre la xarxa interna de l'organització i una xarxa externa, generalment internet, i actua com a xarxa segura i intermediària. DNS Domain Name Server Servidor que permet l'accés a Internet per mitjà de la consulta automàtica d'una base de dades, en què hi ha enregistrats els noms de domini juntament amb les adreces IP que els corresponen. Quan un internauta sol·licita una adreça d'Internet, l'ordinador fa una consulta automàtica a la base de dades que tradueix l'adreça d'Internet en adreça IP per tal d'accedir a un lloc d'Internet. Els servidors de noms de domini no tenen una llista de tots els ordinadors connectats a Internet, de manera que estan interconnectats i s'intercanvien informació. DNP Distributed Network Protocol Conjunt de protocols de comunicacions utilitzats entre components de sistemes d’automatització de processos i estacions controladores. DNP3 Distributed Network Protocol, v3 Versió 3 del DNP DPI Deep Packet Inspection Una forma de filtratge usada per inspeccionar els paquets de dades enviats des d'un ordinador a un altre a través d'una xarxa.
- 5 - Una mirada a la ciberseguretat industrial
Acrònim Nom Descripció EMS Electronics Manufacturing Referit a empreses que dissenyen, fabriquen, Services proven, distribueixen i proporcionen serveis de devolució i reparació de components i muntatges electrònics per a fabricants d'equips originals. ERP Enterprise Resource Planning Programari de gestió integrada. Programari que permet de gestionar principalment el sistema financer, el sistema comptable i els processos de comerç electrònic en una empresa o una organització. FTP File Transfer Protocol Sistema de transferència de fitxers que permet a un usuari de copiar documents, fitxers o programes d'un lloc d'Internet. HMI Human-Machine Interface El component de determinats dispositius que permet la comunicació de les interaccions entre humans i màquines. ICS Industrial Control Systems Sistema que integra màquines i programes amb connectivitat a la xarxa que dona suport a les infraestructures crítiques. ICS-CERT Industrial Control Systems Cyber Equip de resposta a incidents que guia les Emergency Response Team actuacions entre governs i indústria per la ciberseguretat dels sistemes de control d’infraestructures crítiques. IT Information Technology Processos de negoci o sistemes d’informació dissenyats per a la informació de les persones. IP Internet Protocol Protocol que permet d'encaminar paquets de dades per mitjà d'Internet des de l'origen a la destinació. IDS/IPS Intrusion Detection System / Dispositiu o aplicació que monitoritza una xarxa o Intrusion Prevention System sistemes per a les activitats malicioses o violacions de polítiques / dispositiu o aplicació que examina el flux de la xarxa per detectar i prevenir vulnerabilitats. IoT Internet of Things Internet de les coses. Xarxa formada per un conjunt d'objectes connectats a internet que es poden comunicar entre si i també amb humans, i així transmetre i tractar dades amb intervenció humana o sense. IIoT Industrial Internet of Things Internet de les coses en l’àmbit de les activitats industrials. ISA International Society of Comunitat tècnica sense ànim de lucre Automation d’enginyers, tècnics, empresaris, educadors... que treballen, estudien o s’interessen per l’automatització industrial i les activitats relacionades. ISP Internet Service Provider Organització que té un servidor amb connexió permanent a Internet, al qual l'usuari es pot connectar per a accedir a la xarxa i per a obtenir altres serveis, com ara el servei d'accés a Internet, el de correu electrònic, el d'emmagatzematge de pàgines web, el d'antivirus o el de filtratge de correus. LAN Local Area Network Xarxa de telecomunicacions formada per ordinadors interconnectats en una àrea geogràfica limitada relativament petita, aproximadament de 2 km, i que poden estar dins d'un o diversos edificis. Generalment, es tracta de xarxes privades i d'alta velocitat. MAC Media Access Control Subcapa d’enllaç de dades en el model de xarxa de referència OSI
- 6 - Una mirada a la ciberseguretat industrial
Acrònim Nom Descripció MES Manufacturing Execution System Un sistema d’informació que connecta, supervisa i controla els sistemes de producció complexos i el fluxos de dades en una planta industrial. MITM Man-In-The-Middle Atac d’intermediari. Atac en què un internauta s'interfereix en una comunicació entre un client i un servidor i es fa passar per una part autoritzada en la comunicació per tal d'accedir a dades del seu interès. NFC Near-Field Communication Tecnologia que permet que diversos aparells electrònics intercanviïn fàcilment petites quantitats de dades entre ells o amb una targeta intel·ligent sense contacte, gràcies a la generació d'un camp magnètic dèbil entre dispositius situats molt a prop els uns dels altres. OLE Object Linking and Embedding Protocol definit per Microsoft que permet el desenvolupament d'objectes reutilitzables per part de múltiples aplicacions. Una de les conseqüències pràctiques és la possibilitat d'incloure objectes o documents d'altres aplicacions dins del document de la mateixa aplicació, com també d'editar dades de documents d'altres aplicacions sense necessitat de canviar d'aplicació. OPC OLE for Process Control OLE dedicat al control de processos OPC-UA OLE for Process Control-Unified OLE dedicat al control de processos i l’arquitectura Architecture unificada OT Operation Technology Els processos industrials o sistemes operacionals dissenyats per a control de processos. PC Personal Computers Ordinadors de dimensions i característiques adaptades a l'ús individual. PLC Programmable Logic Controller Dispositiu emprat per a automatitzar el control i el monitoratge del funcionament de plantes industrials. Pot treballar independentment o formant part d'un sistema. RTU Remote Terminal Unit És un dispositiu amb el que s’obtenen senyals independents dels processos i envia la informació a un lloc remot on es pugui processar. SCADA Supervision, Control and Data Programari que permet el control de la producció, Adquisition proporciona comunicació amb els dispositius de camp (controladors autònoms, autòmats programables, etc.) i el control automàtic. Recull tota la informació generada en el procés productiu per a diversos usuaris. SIEM Security Information Event La capacitat dels productes per recopilar, analitzar Management i presentar informació dels dispositius de xarxa i seguretat. Les aplicacions de gestió d'identitats i accés. Les eines de gestió de vulnerabilitats i compliment de polítiques. Els sistemes operatius, bases de dades i registres d'aplicació. Les dades d'amenaces externes. SMPT Simple Mail Transfer Protocol Protocol de la capa d'aplicació que especifica com s'ha de realitzar la transferència de missatges de correu electrònic a través d'una xarxa de protocols TCP/IP entre un ordinador d'origen i un de destí. TCP Transmission Control Protocol Protocol de control de transmissió, protocol d'internet que permet de verificar la connexió a una xarxa de telecomunicacions i de segmentar la informació que aquesta transmet en paquets de dades.
- 7 - Una mirada a la ciberseguretat industrial
Acrònim Nom Descripció UDP User Datagram Protocol Protocol que utilitza el protocol d'internet per a la transmissió de datagrames d'una aplicació d'internet a una altra. USB Universal Serial Bus Estàndard de bus que, mitjançant l'ús d'un sol cable de telecomunicacions, simplifica la integració automàtica dels perifèrics que es connecten a un ordinador. VLAN Virtual Local Area Network Xarxa d'àrea local constituïda per un conjunt d'ordinadors físicament localitzats en diferents segments de la xarxa. VPN Virtual Private Network Xarxa privada virtual. Xarxa privada que s'estén, mitjançant un procés d'encapsulació, i en algun cas d'encriptació, dels paquets a diferents punts remots, fent ús d'infraestructures públiques de transport. Els paquets de dades de la xarxa privada virtual viatgen per un túnel definit en la xarxa pública.
- 8 - Una mirada a la ciberseguretat industrial
Resum executiu
El desenvolupament de projectes de ciberseguretat industrial és clau per combatre els riscos i amenaces a què estan exposats en l’àmbit de les seves activitats diàries les empreses del sector industrial i els puguin ajudar a posar mecanismes d’autoprotecció a partir de les recomanacions proposades.
Aquesta guia té com a objectiu divulgar la cultura de la ciberseguretat en el paradigma industrial, perquè en la presa de decisions dels responsables de les empreses cal gestionar i elaborar informació que ajudi a entendre els riscos i les amenaces existents.
Les indústries catalanes, per tal de millorar la seva competitivitat, estan fent una aposta clara en la digitalització i transformació del processos industrials. Tenen la necessitat, per tant, d’unir els processos industrials o sistemes operacionals (OT) amb els processos de negoci o sistemes d’informació (IT) que fins ara han estat tant aïllats com distants. La convergència d’aquests dos sistemes garanteix la fiabilitat general del sistema.
Per això pren sentit definir la ciberseguretat industrial com el conjunt d’eines, polítiques, accions i mesures de seguretat per tal que les indústries puguin protegir el seu entorn, amb tots i cadascun dels actius, tant dels sistemes relacionats amb els entorns d’operació com els sistemes transaccionals. A més cal tenir un marc de referència, la normativa ANSI / ISA 95, a l‘hora de relacionar les àrees de les empreses de caire industrial amb els diferents elements involucrats amb els sistemes d’automatització i els principals protocols de comunicació entre les diferents capes.
A aquest efecte cal fer convergir aquests dos entorns tenint en compte que els plans de treball hauran de resoldre qüestions fonamentals: administrar/controlar, conciliar unitats de mesura, agregada/desagregada, centralitzada/distribuïda, integrar/interoperar, priorització de la seguretat, cicle de vida, avaluació de riscos, procediments de seguretat, sistemes de protecció, compliment normatives, testeig i auditories, resposta a incidències i anàlisi forense.
D’una banda la prioritat dels sistemes d'OT és la seguretat –safety- (no posar en risc el públic i protegir de danys el medi ambient) i exigeix fiabilitat i resistència per evitar la interrupció dels processos, i evitar la inactivitat de la maquinària. D'altra banda, els sistemes IT prioritza la seguretat –security- i la privacitat juntament amb la fiabilitat. En els àmbits IIoT, es sumen
- 9 - Una mirada a la ciberseguretat industrial
totes les consideracions per tal d’assegurar les seves necessitats funcionals, el medi ambient, les possibles interrupcions, els errors humans i els atacs externs i interns.
En aquests sentit cal tenir informació en detall dels grans grups d’amenaces internes i externes, així com tenir accés a les grans quantitats de bases de dades de les principals vulnerabilitats que existeixen, tant en l’àmbit IT com OT que cal contrastar amb el nostre escenari i, si cal comptar amb actualitzacions o millores contínues d’instal·lacions industrials.
Cal tenir present que en l’actuació d’un hacker en el procés o tècnica de recollida d’informació de cara a planificar un atac es situen dues etapes que cal conèixer: la cerca d’informació per mitjans públics (footprinting), i la d’informació més específica (fingerprinting). Conèixer les dues etapes ens permet prevenir a través de l’anàlisi de les diferents situacions, així com saber quins són els patrons principals d’atac.
Alhora cal prendre especial atenció als processos d'APT que requereixen un alt grau de cobertura durant un llarg període de temps. L’ús de programari maliciós que de forma persistent permet explotar vulnerabilitats en els sistemes és una amenaça real sofisticada i no necessàriament complex. Conèixer les fases d’aquest procés és clau per a evitar costos i pèrdues econòmiques derivades.
Amb la reflexió sobre tots els elements serem capaços d’adoptar solucions i recomanacions que són aplicables a les empreses industrials. Algunes d’elles en l’entorn tecnològic (gestió d’IDS/IPS), amb la inversió econòmica i implementació de sistemes de suport tècnics necessaris, en la implementació de procediments a l’interior de les organitzacions en diferents àmbits i a nivell general (seguretat física, gestió dels equipaments i maquinària, segmentació i fortificació de xarxes, arquitectura de xarxa, seguretat per defecte), i en la conscienciació de les persones implicades (formació de la plantilla).
Finalment, conegudes i assimilades totes les qüestions descrites en el document es donen les condicions per a definir el Pla d’Acció en l’àmbit de la ciberseguretat industrial per poder afrontar possibles incidents en el futur. Per això cal conèixer els punts a desenvolupar:
• Avaluació de riscos • Anàlisi de vulnerabilitats • Aplicació de mesures correctives • Definició polítiques i creació procediments • Formació dels col·laboradors
- 10 - Una mirada a la ciberseguretat industrial
1. INTRODUCCIÓ
En un món on ja s'està produint la convergència entre els sistemes físics i els digitals, especialment sota el paradigma de l’Internet of Things, la conscienciació de la ciberseguretat a la indústria és un mecanisme fonamental a tots els nivells.
D'acord amb Gartner, al 2020 estaran connectats 13.5 milions de dispositius. Tal i com va succeir amb l’atac Dyn (atac massiu produït a finals de 2016 a la infraestructura bàsica d’internet amb la utilització de milions de dispositius IoT) en el futur els atacs a gran escala continuaran fent ús de les vulnerabilitats dels dispositius IoT.
Prendre consciència d’aquests escenaris on els atacants semblen tenir un terreny abonat per fer manipulacions de dades, impactar en la reputació, explotar les vulnerabilitats per fer guanyar diners... és ja imprescindible en el context de la indústria 4.0.
1.1 A qui va adreçat el document
Aquest document s’adreça principalment a directius, gerents de les empreses d’àmbit industrial del territori català, petites, mitjanes i grans, i, d’una manera àmplia, a totes les persones amb responsabilitat a dins d’aquestes empreses, que participen en la definició de l’estratègia de ciberseguretat de l’empresa i en la presa de decisions d’operacions i dels sistemes d’informació de la cadena productiva.
Tot i que el document s’enfoca principalment a les empreses amb instal·lacions industrials, també s’adreça a les entitats, com ara a les administracions, centres tecnològics, fundacions i associacions, les quals juguen un paper clau a l’hora de facilitar i impulsar la protecció i prevenció en matèria de ciberseguretat a les instal·lacions industrials d’empreses de menors dimensions i amb menys recursos.
1.2 Objectiu i abast del document
La divulgació en matèria de ciberseguretat en l’àmbit industrial és una peça fonamental per a les empreses catalanes. En aquest sentit, l’elaboració/selecció/edició de continguts per dirigir
- 11 - Una mirada a la ciberseguretat industrial
a l’àmbit d’empreses industrials amb el propòsit de prevenir incidents de ciberseguretat i conscienciar les capes directives. Amb aquests continguts les indústries catalanes i els operadors crítics entendran l'abast de la ciberseguretat industrial, dels riscos i amenaces a què estan exposats en l’àmbit de les seves activitats diàries i els puguin ajudar a posar mecanismes d’autoprotecció a partir de les recomanacions proposades.
Aquesta guia té com a objectiu divulgar la cultura de la ciberseguretat en el paradigma industrial, perquè en la presa de decisions dels responsables de les empreses cal gestionar i elaborar informació que ajudi a entendre els riscos i amenaces a què s’exposen les instal·lacions industrials en funcionament.
- 12 - Una mirada a la ciberseguretat industrial
2. Visió general de la ciberseguretat industrial
2.1 Seguretat: Safety vs Security
La informàtica industrial és la branca de la informàtica que s’encarrega de l’automatització de processos industrials o d’infraestructures. Aquests processos industrials tenen com a objectiu l’adquisició, la supervisió, el control i la gestió de dades en temps real. L’automatització industrial és l’ús d’aquests sistemes o elements amb capacitats computacionals per tal de poder controlar els processos industrials de manera autònoma.
En els darrers temps, l’automatització i el control industrial han avançat de manera ràpida a través de l’aparició de gran quantitat de dispositius i solucions de diferents àmbits; des de petits dispositius de fàcil configuració fins a unitats modulars amb una enorme capacitat de controlar una gran quantitat d’entrades i sortides.
Tot i que el PLC ha estat l’element clau de l’automatització industrial, no es l’únic element. L’aparició d’altres dispositius, aplicacions i solucions com ara el RTUs, SCADAs, DCS, EMS, MES... han permès, gràcies a les seves noves funcionalitats, la recollida de dades, visualització, traçabilitat dels diferents processos industrials... La capacitat d’aquests nous dispositius i sistemes han augmentat de manera exponencial la rapidesa en el càlculs, disminució dels temps de cicle d’execució, nous sistemes i llenguatges de programació, i sobretot substituint els clàssics ports sèrie RS-232 per ports Ethernet, USB o sistemes sense fils, interconnectant aquests dispositius amb tecnologies d’Internet.
En els darrers temps, les indústries catalanes, per tal de millorar la seva competitivitat, estan fent una aposta clara en la digitalització i transformació del processos industrials. Tenen la necessitat, per tant, d’unir els dos mons fins ara tant aïllats o distants com són els processos industrials o sistemes operacionals (OT) amb els processos de negoci o sistemes d’informació (IT). Aquest fet ha suposat la necessitat d’interconnectar i integrar aquests dos sistemes. I això ha provocat que els entorns industrials es puguin veure afectats per les mateixes amenaces i vulnerabilitats que els entorns IT tradicionals, així com l’adopció de noves eines, solucions, sistemes, dispositius... sobre el propi procés productiu. Això implica convertir-se en un nou objectiu per a noves formes de ciberterrorisme.
- 13 - Una mirada a la ciberseguretat industrial
Arribats en aquest punt, podríem definir la ciberseguretat industrial com el conjunt d’eines, polítiques, accions i mesures de seguretat per tal que les indústries puguin protegir el seu entorn, amb tots i cadascun dels actius, tant dels sistemes relacionats amb els entorns d’operació com els sistemes transaccionals.
En el nostre registre, per la paraula seguretat podem trobar diversos significats en funció de l’àmbit o l’àrea que estem tractant. Quan parlem de l’àmbit industrial, és important fer la diferenciació que es fa amb l’anglès: safety i security. Aquestes dues paraules en dels sistemes industrials les hem de diferenciar.
2.1.1 Safety El significat de la paraula anglesa safety és la condició d’estar protegit contra accidents i totes aquelles mesures que ajudin a mitigar possibles incidents i continuar realitzant aquella acció esperable i acceptable. En els àmbits industrials la paraula safety s’ha associat a la seguretat física de les persones, de les infraestructures i dels equipaments, tots aquells elements que en cas de tenir un incident, poguessin provocar impacte en el procés productiu.
Fins ara, les persones que s’han encarregat des del punt de vista safety han estat enginyers industrials que s’han responsabilitzat de la seguretat dels processos, tenint en compte els seus coneixements en instal·lacions industrials.
2.1.2 Security La paraula security es pot definir com el grau de resistència o mecanismes de protecció i prevenció contra danys, que puguin provocar pèrdues als actius o les persones dintre de les organitzacions. En els àmbits industrials, security s’identifica amb els cossos de seguretat (públics i privats). Avui en dia també s’associa al món informàtic per parlar de ciberseguretat (cybersecurity).
En els sistemes d’automatització i control, i també sistemes d’informació, es fa servir el terme security, tant en àmbits lògics o digitals a través d’eines protecció (firewall, antivirus, etc...) com a la seguretat física (càmeres de vigilància, sensors de presència...).
la UE
- 14 - Una mirada a la ciberseguretat industrial
2.2 Casos i evolució
Stuxnet va ser un malware que es va detectar el 2010 i que va afectar principalment el programa d’enriquiment d’urani a l’Iran. Stuxnet va tenir la capacitat de reprogramar els PLC d’una marca en concret i alhora amagar els canvis realitzats al mateix equip.
La principal via de propagació va ser a través de dispositius USB que infectaven el PLC, i que ràpidament s’extenien a través de la xarxa, de tal manera que modificava el funcionament correcte del procés. En el cas de les centrifugadores d’urani, alterava la velocitat de gir dels motors, i modificava el procés productiu sense que els operaris detectessin el canvi.
En els darrers anys, s’han produït diferents atacs a plantes industrials i infraestructures critiques que han afectat els processos industrials: Stuxnet, Duqu, Shamoon, Dragonfly, SandWorm, Trojan, Laziok... són altres exemples.
Figu
Instal·lacions industrials Tractament d'aigües Sistemes de control mobilitat
Manufacturing Plantes d’acer Sector químic
Ciberatacs a plantes industrials
Cal disposar d’un marc de referència, la normativa ANSI / ISA 95, a l‘hora de relacionar les àrees de les empreses de caire industrial amb els diferents elements involucrats amb els sistemes d’automatització. A l’Annex 2 hi ha descrits els 4 nivells (Producció, Supervisió, Gestió Operació i Negoci) de l’ISA 95 i a l’Annex 3 els principals protocols de comunicació entre les diferents capes o dintre de la mateixa capa.
- 15 - Una mirada a la ciberseguretat industrial
3. Diferències entre entorns OT i IT
Els sistemes de control es connecten cada vegada més amb els sistemes IT tradicionals, ja que diferents aspectes d'aquests sistemes es controlen ara des de la part corporativa. A més, la informació d'estat d'aquests sistemes és requerida per més persones, des d’empleats a alts directius; i la varietat de suports en què es presenta va en augment: equips personals, telèfons mòbils, tauletes, etc. Les unitats de mesura de cada un dels àmbits cada vegada s’acosta més, ja que mentre que els sistemes de control han parlat d’unitats de segons, en àmbits de gestió s’ha parlat de dies o setmanes. És un fet clar que la unitat ha de ser comuna, i aquesta ha de ser la del temps real.
Els sistemes de control i automatització tradicionals estaven aïllats, però avui en dia les seves relacions amb altres sistemes i processos estan creixent de forma exponencial. Aquest ràpid creixement implica que encara no existeixen tots els processos organitzatius i eines de seguretat específiques que ajudin a solucionar o mitigar les vulnerabilitats i deficiències com les anteriorment descrites. A això se suma que, en la majoria dels casos, els fabricants es troben a milers de quilòmetres de distància i no obstant això han de fer tasques de manteniment i/o suport. Això sol motivar que aquests sistemes es connectin a Internet, la qual cosa permet aquests accessos de forma econòmica per a l'empresa operadora. Totes aquestes connexions fan que el perímetre dels sistemes de control es desdibuixi, en una clara contraposició als sistemes de control i automatització clàssics on tot estava correctament acotat i limitat.
- 16 - Una mirada a la ciberseguretat industrial
Per exemple, l'aplicació de pegats en aquests entorns OT no ha estat una pràctica habitual: s’ha seguit la màxima "Si funciona, millor no tocar res". Anteriorment, quan els sistemes estaven aïllats el nivell de risc d'aquesta praxi era inferior. No obstant això, avui dia, a causa de la creixent interconnexió amb altres sistemes corporatius, Internet, etc., és una qüestió fonamental a tenir en compte. Una cosa semblant passa amb el control d'accés a aquests sistemes. Tradicionalment, l'accés es realitzava en un entorn local des de les pròpies instal·lacions, de manera que comptar amb una seguretat física adequada era suficient. Avui dia, però, els accessos es realitzen des de qualsevol ubicació, fins i tot utilitzant Internet. D'altra banda, la gestió de logs i esdeveniments de seguretat en aquests entorns s'ha limitat a esdeveniments com "indisponiblitat d'algun equip telegestionat". No obstant això, el registre d'accessos i ús, canvis de configuracions i altres esdeveniments ha estat, i continua sent, pràcticament inexistent, en part motivat pel fet que molts dispositius no generen esdeveniments útils des del punt de vista de la seguretat.
L'ús cada vegada més habitual en l'àmbit industrial de tecnologies IT típiques d'entorns corporatius, com el correu electrònic, el DNS, eines de missatgeria instantània, Ethernet, la pila TCP / IP, o sistemes operatius comercials com Windows, suposen que els sistemes de control i automatització quedin exposats a atacs habituals contra aquestes tecnologies i els atacants disposen de múltiples eines amb què recolzar-se.
A la taula següent, i com a resum, es mostra l’aproximació que han fet aquests mons fins ara tan aïllats, però que dia rere dia va convergint.
Com unir aquests dos El món IT El món OT mons Sistemes dissenyats per a les Sistemes dissenyats per a control Administrar vs controlar persones de processos El focus està en control de El focus està en fer diners Conciliar unitats de mesura processos (temperatura, (ingressos, marges, EPS, etc.) emissions, etc.) L'abast és l'orquestració de Aplicació d’instruccions detallades funcions creuades de la cadena de Agregada i desagregada per a màquines subministrament Comunicar els plans de producció Assegurar la visió entre les plantes Centralitzada i distribuïda l'automatització Fer interfície estàndard entre ERP i Integrar múltiples protocols i Integrar i interoperar plantes interfícies d'equips
- 17 - Una mirada a la ciberseguretat industrial
El risc principal és la pèrdua de El risc principal és la parada del Ciberseguretat dades procés productiu Confidencialitat, integritat i Disponibilitat, integritat i Prioritats seguretat disponibilitat confidencialitat 2/3 anys amb l'existència de gran 10/20 anys amb reduït nombre de Cicle de vida nombre de proveïdors proveïdors específics i sectorials Pràctica habitual que condueix a Avaluació de riscos Pràctica realitzada si és obligatòria inversió en ciberseguretat
Habitual i integrada en l'operació Procediments de seguretats No habitual i no integrada
Poc habitual per la criticitat dels Comú, fàcil d'actualitzar i amb sistemes, complex de desplegar i polítiques ben definides i Sistemes de protecció actualitzar i sense polítiques automatitzades específiques Normatives especifiques i/o Normatives genèriques Compliment normatives sectorials Realització de test específics i Utilització de les metodologies Testeig i auditories inexistència de metodologies estàndards més actuals estàndards Fàcil desplegament i en ocasions Resposta a incidències i Poc habitual, no realitzant anàlisi caràcter obligatori anàlisi forense forense
Principals diferències entre entorns OT i IT
- 18 - Una mirada a la ciberseguretat industrial
4. IIoT a la Indústria
Anomenem sistemes IIoT (Industrial Internet of Things) a aquells que connecten i integren diferents tipus de sistemes de control i sensors amb sistemes empresarials, processos de negoci, anàlisi i persones. Aquests sistemes difereixen dels sistemes de control industrial tradicionals en estar connectats àmpliament a altres sistemes i persones, l'augment de la diversitat i l'escala dels sistemes.
4.1 Sistemes aïllats
Històricament, la seguretat en els sistemes industrials es basava en la confiança de la separació física i l’aïllament de la xarxa dels components vulnerables, i en la foscor de les regles de disseny i d'accés als sistemes de control crítics. La seguretat era, i continua sent, complir a través de bloquejos físics, sistemes d'alarma i, en alguns casos agents de seguretat.
El potencial d'error humà o mal ús va ser principalment a través de l'accés i les preocupacions es van centrar en la interrupció de la seguretat i fiabilitat del sistema directe, amb els riscos mitigats mitjançant un bon disseny, l'anàlisi i la revisió, proves exhaustives i la formació.
Per tant, quan es van dissenyar aquest tipus de solucions aïllades, difícilment consideraven que aquests sistemes algun dia podrien estar exposats a una xarxa global, accessible de forma remota per molts dels usuaris legítims.
Sistemes aïllats (IT i OT)
- 19 - Una mirada a la ciberseguretat industrial
4.2 Sistemes integrats
En els darrers anys, una potència de càlcul cada vegada més assequible, la connectivitat ubiqua i l’evolució de les tècniques d'anàlisi de dades han obert la porta a la convergència dels sistemes de control, sistemes de negocis o transaccionals i Internet. Aquesta convergència va començar a un ritme lent. Inicialment es feia servir per a la monitorització i gestió de sistemes a distància, però ràpidament s’ha ampliat amb un ampli ventall de possibilitats com l’anàlisi de dades de les operacions, predicció d’errors, etc... Aquesta convergència ha augmentat la productivitat, l'eficiència i el rendiment dels processos operatius existents i ha permès la creació de noves formes d'aprofitar les dades d'operacions, oferint així el valor del negoci ara i en el futur.
Cal dir, però, que tots aquests avenços alhora han provocat nous riscos. Els sistemes que van ser dissenyats originalment aïllats estan exposats a atacs de creixent sofisticació, ja que no es tenien en compte les noves tecnologies que es fan en el processos operacionals (OT). Un atac amb èxit en un sistema IIoT té el potencial de ser tan greu com els pitjors accidents de treball, tant en termes de seguretat física amb lesions o pèrdua de vides humanes, com en danys al medi ambient, entre d’altres. També hi ha risc de danys per la divulgació de les dades sensibles, la interrupció de les operacions i la destrucció dels sistemes durant un atac d'aquest tipus.
Sistemes integrats (IIoT)
Els resultats dels atacs als sistemes IIoT poden ser comparables als grans desastres naturals, però es basen en accions malintencionades. Això donarà com a resultat el dany a la reputació de la marca i, pèrdues econòmiques i materials, així com possibles danys a infraestructures
- 20 - Una mirada a la ciberseguretat industrial
crítiques. Amb un sistema de IIoT distribuït geogràficament s'ha de tenir cura per assegurar- se que l’atac o la disrupció a un sistema aïllat no provoqui un efecte cascada a la resta d’indústries i/o infraestructures.
4.3 Nous riscos IIoT
Les organitzacions han de prendre seriosament aquests riscos i utilitzar la seva experiència per fer que els seus sistemes IIoT siguin segurs. L'ús de sensors i actuadors en un entorn industrial no és la típica experiència en els àmbits de les Tecnologies de la Informació (IT), ni són sistemes que existeixin a moltes organitzacions. Tal i com hem vist al capítol anterior, les prioritats han estat diferents. Però quan parlem de sistemes IIoT, ha d’haver-hi una convergència d’aquests dos sistemes (IT i OT) per tal de garantir la fiabilitat general del sistema.
IT Privacitat Security Fiabilitat IIoT Resiliència Privacitat Safety Security Resiliència Fiabilitat OT Safety Security Resiliència Fiabilitat
Convergència IT o OT
- 21 - Una mirada a la ciberseguretat industrial
Les organitzacions IIoT han de donar una importància més gran a la seguretat i a la resistència més enllà dels nivells esperats en la majoria d’entorns d’IT tradicionals. Els sistemes IIoT també poden tenir fluxos de dades que incloguin intermediaris i impliquin altres organitzacions, per tant requereixen enfocaments més sofisticats de seguretat, com per exemple, encriptació d'enllaços. Malauradament, els departaments IT poques vegades parlen el mateix idioma que els interessats en els sistemes de control OT. Tots dos perceben el risc d’una manera diferent. Per tant, és de vital importància en les organitzacions actuals una bona coordinació i entesa de les motivacions des d’un punt de vista global en el marc de l’organització.
La prioritat més alta de molts sistemes d'OT és la seguretat –safety-: no causar lesions o la mort, no posar en risc el públic i protegir de danys el medi ambient. La segona i tercera prioritats són sovint la qualitat dels objectius de producció, que depenen de la fiabilitat i la robustesa de la xarxa. Calen fiabilitat i resistència per evitar la interrupció dels processos, i evitar la inactivitat de la maquinària ja que representa grans inversions.
D'altra banda, la seguretat –security- i la privacitat són característiques importants per a la majoria dels sistemes d'informació, juntament amb la fiabilitat. La seguretat –safety- és poques vegades un problema, i la resiliència està reservada per als sistemes especialitzats, on la continuïtat del negoci és un factor motivador (per exemple, per a les transaccions financeres).
L’objectiu, per tant, en els àmbits IIoT, és crear sistemes fiables, que assegurin les seves necessitats funcionals, el medi ambient, les possibles interrupcions, els errors humans i els atacs externs i interns. Totes les consideracions s'han de fer de forma explícita per tal que els membres de cada banda puguin entendre i apreciar les necessitats i motivacions de l'altra. Totes aquestes consideracions s’han de considerar com una necessitat per a tots els membres de les organitzacions.
ssos i innovació disruptiva
- 22 - Una mirada a la ciberseguretat industrial
5. Amenaces en entorns OT i principals vulnerabilitats ó de les tecnologies en la fàbrica 4.0 5.1 Amenaces internes
L'amenaça procedent de persones a l’interior de les organitzacions sol ser subestimada de forma freqüent, potser perquè constitueix un problema molt difícil de solucionar. Cal que confiem en els nostres empleats, proveïdors, enginyers, integradors i tots aquells col·laboradors que tenen determinats drets d'accés per permetre que facin la seva tasca. Però, al mateix temps, no podem confiar que les decisions que prenguin sempre siguin les correctes.
Alguns podrien ser víctimes d'atacs de phishing, fer ús de dispositius USB no autoritzats amb codi maliciós, accedir a informació privilegiada, realitzar accions malicioses per tenir certs privilegis, etc... Per tant, l'amenaça interna no procedeix només dels nostres empleats, sinó de qualsevol que tingui accés a la xarxa, a dades corporatives o a les instal·lacions de la companyia, amb la dificultat que això comporta.
5.2 Amenaces externes
D’altra banda, en un apartat posterior, veurem les tipologies de hackers existents, així com les principals característiques i tècniques que fan servir a l’hora de preparar els seus atacs.
Cada vegada vivim en un món més sobreexposat a l’exterior, on qualsevol tipus de dispositius físics i electrònics es troben connectats a la xarxa. L’expansió de l’IoT, i en el nostre cas la integració dels sistemes de control, els converteix en una xarxa global d’intercanvi de dades, amb l’exposició d’actius sovint molt crítics i vulnerables.
Una de les eines o cercadors que ens donaran una visió sobre com d’exposats estan els nostres sistemes de control i actius és el cercador Shodan. Shodan és un cercador creat el 2009 amb un funcionament molt similar a Google, tot i que en comptes d’indexar contingut web, rastreja una altra sèrie de ports. Shodan té la capacitat d’indexar tot tipus de dispositius, des de routers o firewall, webcams... fins als sistemes industrials (PLC, ICS...).
- 23 - Una mirada a la ciberseguretat industrial
Un dels aspectes més perillosos és que la majoria de propietaris d’aquests sistemes o dispositius de control desconeixen que els seus actius connectats a la xarxa poden ser visibles per part d’agents externs. Tal i com veurem en capítols posteriors, exposarem algunes recomanacions per tal d’evitar amenaces externes.
https://www.shodan.io
- 24 - Una mirada a la ciberseguretat industrial
5.3 Vulnerabilitats
A l’actualitat, existeixen grans quantitats de bases de dades de vulnerabilitats, tant en l’àmbit IT com OT. Aquestes bases de dades proporcionen una informació actualitzada de les vulnerabilitats existents en entorns OT, que són consultades contínuament pels administradors de sistemes. Per una altra banda, els fabricants també publiquen les seves vulnerabilitats per tal que els seus usuaris puguin estar el cas un cop s’ha detectat la vulnerabilitat sobre el dispositiu o el sistema.
Un exemple de base de dades de vulnerabilitats són:
ICS-CERT
L'Equip de Resposta a Emergències de Cyber Sistemes de Control Industrial (ICS-CERT) té com a missió guiar un esforç de cohesió entre el governs i la indústria per millorar la postura de seguretat cibernètica dels sistemes de control en el marc de les infraestructures crítiques de la nació. Ajuda els proveïdors de sistemes de control i propietaris/operadors d'actius per identificar les vulnerabilitats de seguretat i desenvolupar estratègies de mitigació, que enforteixen la seva situació de seguretat cibernètica i en redueixen el risc.
https://ics-cert.us-cert.gov/
CVE: Common Vulnerabilities and Exposures
És una llista d'informació registrada sobre vulnerabilitats conegudes de seguretat, on cada referència té un número d'identificació únic. D'aquesta manera aporta una nomenclatura comuna per al coneixement públic d'aquest tipus de problemes i així facilita la compartició de dades sobre aquestes vulnerabilitats.
https://cve.mitre.org/
CCI (Centro de Ciberseguridad Industrial)
Recentment, des del CCI, s’ha publicat una breu guia amb les principals vulnerabilitats que poden existir en els nivells ISA-95, així com les mesures mes recomanables.
- 25 - Una mirada a la ciberseguretat industrial
Nivell Automatització Industrial ISA-95
Principals vulnerabilitats que poden existir 0 1 2 3 4
Manca de mesures de seguretat física * * * * * Possibilitat d’interceptar i alterar comportament dels sensors * * * * *
Debilitat en els protocols de comunicació * Instal·lació i configuració incorrecta o serveis innecessaris habilitats * * * * * Manca d'actualització de programari * * * Errades 0-day * * * * * Emmagatzematge sense protecció * * * * *
Debilitat davant desbordament de buffer * * * *
Debilitat en identificació i autenticació (contrasenyes) * * * Assignació incorrecta de privilegis * * * * Debilitat davant fuzzing (tècniques per proporcionar dades invàlides i * * * inesperades) Debilitat davant d'atacs de Cross-Site Scripting * * *
Debilitat davant l’execució de codi remot * * *
Personal de planta no capacitat en tecnologies d'operació i/o informació * * * *
Personal de TI no capacitat en tecnologies d'operació * * * * Acords de nivell de servei insuficients * * * * * Manca de control de canvis * * * * * Manca de plans de continuïtat * * * * *
Manca de procediments adequats en l'ús de les tecnologies d'operació * * * Personal contractat inadequat o sense conscienciació o formació en * * * * * ciberseguretat Manca de mecanismes de monitorització * * * * * Connexions públiques desprotegides * * * * * Ús d'eines de xarxa no permeses * * * * * Existència de servidors dual home * * * *
Interfície d'accés inadequada * * * Documentació escassa * * * * *
No realització de còpies de seguretat (pèrdua de dades, ransomware...) * * * * Manca de programari anti-malware * * * * Utilització d'usuaris genèrics * * * * Figura 1. Avantatges de la computació al núvol Principals vulnerabilitats segons el CCI
Figura 2. Avantatges de la impressió 3D
- 26 - Una mirada a la ciberseguretat industrial
6. Tècniques de recollida de dades en xarxes OT
Els atacants que volen construir un atac en un entorn OT han d’afrontar tres reptes:
• Accedir a la xarxa de control
• Entendre el sistemes de control, els processos i els protocols
• Construir l’atac per assolir els objectius
Aquells que organitzen aquests atacs són hackers amb un coneixement avançat d'ordinadors i de xarxes informàtiques. Aquests poden estar motivats per moltes raons, incloent-hi el caràcter lucratiu, la protesta o només el desafiament. Pel que fa a les motivacions indicades podríem diferenciar perfils dins de l’àmbit industrial:
• Black Hat Hackers: Atacants que de manera maliciosa aprofiten les vulnerabilitats dels sistemes amb l’objectiu de robar, destruir informació o, fins i tot, per satisfacció personal.
• White Hat Hackers: Atacants que penetren als sistemes aprofitant les vulnerabilitats i un cop detectat informen a l’administrador del problema.
• Script Kiddie: Atacants que, sense un nivell de coneixement tècnic alt, fan servir programes desenvolupats per altres per fer els seus atacs.
• Crackers: Atacants que no solen tenir el qualificació de hacker però que cada vegada tenen més presència i tenen per objectiu trencar els sistemes criptogràfics, saltar-se les proteccions de software... Tenen un alt coneixement de matemàtiques.
• Hacktivist: Atacants que se centren en accedir als sistemes per motivacions polítiques o socials.
Recollim en els següents punts algunes de les principals tècniques de recollida i construcció d’un atac:
- 27 - Una mirada a la ciberseguretat industrial
6.1 Principals tècniques de recollida d’informació
En el procés o tècnica de recollida d’informació de cara a planificar un atac per part d’un hacker, podrem diferenciar dues etapes clarament: la primera, a través de la cerca d’informació per mitjans públics (footprinting), i la segona, amb informació més específica (fingerprinting).
6.1.1 Footprinting La primeta etapa és la tècnica que consisteix a recopilar informació general de l’objectiu a través de mitjans públics, tant d’informació públicament accessible del propi objectiu com facilitada per tercers. Per poder aconseguir aquesta informació es fa a través de cercadors de qualsevol tipus, xarxes socials, premsa, etc... Aquesta informació inicial serà molt útil per al hacker de cara a continuar recopilant informació sobre l’objectiu.
6.1.2 Fingerprinting Aquesta segona etapa consisteix a recollir informació directament del sistema d'una organització de manera més específica, com topologies de xarxa, adreces IP, etc. L’objectiu, per tant, és aprendre molt més sobre la configuració i el comportament. En aquest cas, la informació ja no és pública i, per aconseguir-la, es fan fan servir diferents eines i tècniques com les que veurem a continuació:
• Enginyeria social
La tècnica d’aconseguir informació confidencial d’un tercer a través de l’engany i la manipulació. Aquesta tècnica no està orientada a identificar les vulnerabilitats dels sistemes sinó que va orientada a assolir informació privilegiada a partir de la interacció social.
• Phishing
La tècnica d’aconseguir informació confidencial a través de la creació d’un espai de confiança entre l’objectiu i l’atacant, de tal manera que l’atacant passa a ser una persona de confiança que aconsegueix la informació confidencial desitjada. Aquest tipus de comunicació normalment es fa mitjançant el correu electrònic o els sistemes de missatgeria instantània.
- 28 - Una mirada a la ciberseguretat industrial
• Sniffing
La tècnica que permet capturar totes les dades que passen per una xarxa d'àrea local. S'utilitzen unes eines específiques, els detectors. Aquest tipus de programari configura la targeta de xarxa d’un ordinador perquè treballi en mode promiscu. És a dir, perquè capturin tot el trànsit encara que no vagi dirigit específicament a elles. Els sistemes han d'estar al mateix domini de broadcast.
• Scanning
Es tracta d'analitzar, detectar (escanejar), a través de diferents eines, l'estat dels dispositius ubicats en una determinada xarxa. Es poden trobar escánners d’aplicació, eines de monitorització de tràfic, de ports i de vulnerabilitats...
6.2 Principals tècniques de construcció d’un atac
Existeixen diferents patrons d’atac que, de diferent forma, fan que una víctima acabi visitant un servidor web suplantat per ús maliciós controlat per l’atacant.
• Spoofing
És una tècnica de suplantació d’identitat amb un objectiu maliciós. El procés consisteix en introduir-se enmig de la comunicació. En funció de la tecnologia que es faci servir les podem diferenciar en:
IP Spoofing: Suplantació d’adreces IP
ARP Spoofing: Suplantació d’adreces MAC a través del protocol ARP
DNS Spoofing: Suplantació d’adreces IP a través servidor DNS
Web Spoofing: Suplantació d’una web a través d’una web falsa
Email Spoofing: Suplantació certes propietats del correu electrònic
- 29 - Una mirada a la ciberseguretat industrial
• Man in the Middle (MitM o JANUS)
És una tècnica d’atac, en la qual l’atacant se situa entre l’objectiu i la font, sense que cap dels dos tingui coneixement del que està passant, essent totalment desapercebut i amb la capacitat de llegir i modificar els missatges de la comunicació.
• Hijacking
És una tècnica que aconsegueix apoderar-se d’una comunicació per part d’un atacant. Un cop robada la sessió, l’atacant tindrà el control total de la comunicació.
- 30 - Una mirada a la ciberseguretat industrial
7. Característiques de les amenaces persistents avançades en els àmbits industrials
Una amenaça persistent avançada, també coneguda per les sigles en anglès APT (Advanced Persistent Threat), és un conjunt de processos informàtics silenciosos i continus, sovint orquestrats per humans, dirigits a penetrar la seguretat informàtica d'una entitat específica. Una APT, generalment, fixa els seus objectius en organitzacions o nacions per motius de negocis o polítics. Els processos d'APT requereixen un alt grau de cobertura durant un llarg període de temps. El procés avançat involucra sofisticades tècniques que utilitzen programari maliciós per explotar vulnerabilitats en els sistemes. El terme 'persistent' suggereix que hi ha un control i monitorització externs per a l'extracció de dades amb un objectiu específic de forma contínua. El terme 'amenaça' indica la participació humana per orquestrar l'atac.
7.1 Característiques principals
• Ser amenaces reals sofisticades i no necessàriament complexes
• Ser amenaces organitzades, premeditades, persistents i diferents
• Eviten les proteccions existents dels seus objectius
• Fer l’atac sense que l’objectiu de qui fa l’atac i els motius es coneguin
• Són atacs que duren un període de temps llarg
• Solen tenir plans de contingència en cas de ser detectats i poder atacar de nou
• El benefici no sempre ha de ser en un curt període de temps
• Actuen de manera constant i prefereixen passar desapercebuts fins a assolir el seu objectiu
• Intenten evadir els sistemes IDS/IPS
• Fan servir tècniques de xifrat o qualsevol mètode per amagar el tràfic no legítim
- 31 - Una mirada a la ciberseguretat industrial
7.2 Principals objectius
• Econòmic: Robatori de propietat intel·lectual, informació confidencial...
• Militar: Revelació d'informació privilegiada
• Tècnic: Suplantar credencials, codi font, modificar processos productius...
• Polític: Desestabilitzar organitzacions, relacions entre països...
I afecten sectors tan diversos i crítics com el governamental, financer, tecnològic, industrial...
7.3 Principals conseqüències
• Pèrdues econòmiques com a conseqüència de l’aturada dels processos productius
• Pèrdues econòmiques derivades de la pèrdua d’informació dels productes, del serveis, etc.
• Pèrdues provocades pel robatori de la propietat intel·lectual
• Costos associats a aspectes reputacionals a causa de la pèrdua de confiança per part de clients, empleats, col·laboradors i inversors
• Costos associats per restablir la reputació danyada
• Costos de compensació a tercers
7.4 Fases d’una amenaça persistent avançada
• Reconeixement: Reconeixement l’objectiu
• Enginyeria social: Enviament d’informació maliciosa
• Infiltració: Intrusió i desplegament del malware
- 32 - Una mirada a la ciberseguretat industrial
• Manteniment: Assegurar la comunicació i presencia del malware
• Moviment lateral: Cercar i trobar la informació desitjada
• Recol·lecció d’informació: Extreure la informació desitjada
• Extracció d’informació: Ús de la informació confidencial per fer accions malicioses
1 • Reconeixement
7 2 • Extracció • Enginyeria social
6 3 • Recol·leció • Infiltració
5 4 • Moviment lateral • Manteniment
Exemple: Fases d’una APT
- 33 - Una mirada a la ciberseguretat industrial
8. Solucions i recomanacions
En aquest apartat es mostren algunes de les solucions que es poden aplicar a les empreses industrials, i als seus sistemes de control i automatització, des de tres àmbits fonamentals:
• Des d’un punt de vista tecnològic, a través de l’ús de solucions software i hardware existents al mercat
• Un recull de propostes o recomanacions de caire procedimental, on es proposaran una sèrie d’accions pel que fa a la seguretat física, gestió d’equipaments, processos, etc...
• Finalment, tenint en consideració les persones que composen les diferents organitzacions, per tal de fer-los coneixedors dels riscos associats a les seves funcions i quina és la seva contribució a l’estat de seguretat general.
8.1 Tecnologia
De ben segur, un dels primers aspectes en què les empreses industrials es fixen a l’hora de millorar la seva posició de seguretat és l’adopció de noves tecnologies destinades a aquesta finalitat.
Una de les solucions de seguretat que més s'està integrant en els sistemes de control i automatització són els tallafocs. Aquesta mesura de seguretat s'està utilitzant tant com a solució de seguretat perimetral com en xarxes internes. No obstant això, l'ús de tallafocs tradicionals ve limitat per la seva capacitat a l'hora d'interpretar els nombrosos protocols de telecontrol o telemesura, que són radicalment diferents als dels sistemes de TI habituals. Darrerament, ja han sorgit solucions de tallafocs específics per a sistemes de control i automatització, que són capaços de comprendre els protocols industrials i, per tant, ajuden a controlar millor els fluxos de comunicacions.
Mesures complementàries als tallafocs, com els IDS/IPS, també s’utilitzen en els sistemes de control i automatització. La limitació d'aquestes solucions és similar al dels tallafocs, ja que no comprenen gaires protocols industrials. A més, el temps d'anàlisi del trànsit, sobretot en
- 34 - Una mirada a la ciberseguretat industrial
configuracions in-line, pot incórrer en latències no compatibles amb la naturalesa de temps real de certs processos industrials.
Si seguim amb la protecció a les xarxes i les comunicacions trobem les VPN de tipus Host- Host, per assegurar les comunicacions entre dispositius. La limitació en l'ús d'aquesta tecnologia ve determinada per la quantitat de recursos computacionals que són necessaris en els processos criptogràfics, i que les fan pràcticament inviables en la major part dels dispositius d'automatització i control encastats.
Les solucions antivirus dels entorns de TI també són vàlides en els sistemes de control i automatització, però l’ús es restringeix als sistemes, ja que els controladors i altres dispositius no solen utilitzar sistemes operatius i aplicacions comercials que siguin suportats pels antivirus. A això se sumen possibles sobrecàrregues durant el procés d 'actualització de signatures i anàlisi de binaris, que poden afectar el compliment amb els paràmetres de temps real. En relació amb el procés d'actualització de signatures, la centralització d’aquesta també pot ser incompatible amb certes bones pràctiques de filtrat, que impedeixin que les xarxes de control tinguin accés fins la consola central corporativa.
8.1.1 Segmentació de xarxes
La segmentació de xarxa és una tècnica que permet la separació i l’aïllament d’una xarxa, en dues o més petites, de tal manera que permet un aïllament de cada una, així com una gestió independent. El fet de crear diferents subxarxes i aïllar-les ens permetrà incrementar el rendiment i poder assolir una major disponibilitat.
Per tal de fer la segmentació d’una xarxa, existeixen diferents tecnologies. A continuació farem una breu descripció de les més utilitzades en àmbits industrials.
Firewall / router
Dispositiu hardware o software que s’encarrega de monitoritzar i/o filtrar el trànsit que pot circular entre les xarxes on està instal·lat a partir d’una sèrie de regles predefinides. Els firewalls es poden classificar de diverses formes:
- 35 - Una mirada a la ciberseguretat industrial
• Firewall de xarxa
El funcionament es basa en l’anàlisi de les capçaleres TCP/IP i Ethernet. L’administrador permetrà el control del trànsit en funció de les polítiques de ports i adreces que determini.
• Statefull Firewall (SPI)
El funcionament es basa en la monitorització i el control de l’activitat de la xarxa, a través de l’anàlisi de les capçaleres Ethernet i TCP/IP. A través de l’administrador, es poden crear normes i restriccions en funció de les accions que es vulguin autoritzar.
• Firewalls d’aplicació
El funcionament es basa en l’anàlisi i identificació dels missatges de les aplicacions autoritzades, i permet la comunicació en funció del tipus de missatge.
• Firewall DPI industrial
És un tipus de hardware expressament dissenyat per a entorns industrials. Les principals diferències són: la robustesa, ja que permet la instal·lació en entorns i ambients industrials. Per una altra banda, la configuració fàcil. I, per últim, permet gestionar en profunditat protocols (DPI, Deep Packet Inspection) específics dels entorns d’operació, és a dir, no es basa només en les capçaleres TCP/IP. Per tant, analitza els principals protocols industrials esmentats a capítols anteriors, com poden ser Modbus, OPC, DNP3... tot fent un control de les comunicacions industrials amb la possibilitat d’aplicar filtratges sobre les comunicacions.
VLAN
Un altre dels mètodes utilitzats per a la segmentació de les xarxes és a través de la creació d’una VLAN (Virtual Local Area Network). Una VLAN és una xarxa lògica d’àrea local independent en una mateixa xarxa física. D’aquesta manera podrem crear xarxes locals independents a través de l’ús d’un sol dispositiu hardware, i tenint aïllades les diferents xarxes es poden crear mecanismes de filtratge entre elles.
- 36 - Una mirada a la ciberseguretat industrial
Díode de dades
Un díode de dades és un altre dels dispositius hardware que es fan servir per separar i protegir dues xarxes, amb la peculiaritat que només permet el flux de la informació en una única direcció. El seu funcionament es basa en la comunicació sobre una fibra òptica a través de dos transceptors òptics (emissor i receptor), de tal manera que s’assegura la unidireccionalitat de la comunicació
8.1.2 IDS industrials Una de les solucions tecnològiques que cada vegada agafa més embranzida en el món de la ciberseguretat industrial són els IDS (Industrial Detection System). És un sistema hardware o software que, a través de l’anàlisi del tràfic de la xarxa i l’aprenentatge que fa sobre el comportament habitual, crea una sèrie de patrons estàndards o habituals. Si hi ha un comportament diferent o estrany crea una alerta per tal d’informar en temps real sobre un comportament nou o anormal.
- 37 - Una mirada a la ciberseguretat industrial
8.2 Procediments
Tal i com expliquem en l’apartat següent, serà necessària la realització d’un Pla d’Acció a través de l’anàlisi de riscos i vulnerabilitats que ens permeti conèixer l’estat de la nostra organització. A través de les arquitectures de referències, normatives i estàndards crearem el nostre Pla d’Acció on definirem una sèrie de polítiques i procediments. A continuació mostrem una sèrie de recomanacions o propostes, amb l’objectiu d’exemplificar possibles accions i definir procediments a l’interior de les organitzacions en diferents àmbits i a nivell general. Aquestes recomanacions són:
Seguretat física • Assegura que els teus actius mantinguin les condicions ambientals òptimes. • Restringeix els accessos als teus sistemes i servidors IT i OT (CPDs, SCADA, MES, etc.). • Limita i estableix control d’accés a elements claus (quadres elèctrics, electrònica de xarxa, etc.). • Prohibeix l’ús de dispositius mòbils que es connectin a les teves infraestructures i sistemes (PC, USB...). • Protegeix en un espai amb condicions ambientals òptimes i d'accés restringit els servidors OT (SCADA, Historian, OPC, Batch, MES) així com l'electrònica de xarxa associada. • Controla l’accés dels teus proveïdors i col·laboradors.
Gestió dels equipaments i • Incorpora arquitectures redundants de controladors i xarxes de comunicació. maquinària • Desplega SAI (Sistemes d'Alimentació Interrompuda). • Realitza manteniment preventiu de sistemes i xarxes.
Segmentació i fortificació de xarxes • Analitza l'estat de la teva xarxa de control. • Coneix el grau de segmentació i tots els dispositius del segment, així com les característiques d’aquests dispositius. • Fortifica la zona de control amb dispositius que permetin DPI. • Separa i segmenta la xarxa IT (Information Technology) de la xarxa OT (Operation Technology) utilitzant electrònica de xarxa específica. • Segmenta les xarxes OT. • Crea una DMZ i protegeix els teus actius crítics.
Arquitectura de xarxa • Coneix les funcionalitats de tots els teus sistemes per tal d’identificar possibles vulnerabilitats. • Fes ús de protocols segurs. • Controla tots els accessos remots a la xarxa OT. • Tecnologies IDS/IPS i/o SIEM et poden ajudar en temps real si hi ha possibles incidències en els teus processos.
Seguretat per defecte • Adquireix solucions que siguin "Secure by design" o assegura't que ajuden a desplegar entorns segurs. • Informat de les funcionalitats específiques de seguretat dels dispositius actuals i dels futurs. • Intenta que els protocols que utilitzes siguin segurs, com per exemple OPC UA o Secure DNP3. • Canvia les configuracions per defecte (login, password...)
- 38 - Una mirada a la ciberseguretat industrial
8.3 Persones
El darrer aspecte que destacarem seran les persones; sobre la importància d’involucrar tota l’organització; des del director general, CISO... passant pels diferents responsables d’automatització, d’informàtica, enginyeria o manteniment, i a totes aquelles persones que gestionin o tinguin accés a la xarxa industrial.
Un altre aspecte clau serà la necessitat de creació de grups de treball fins ara separats (IT o OT), amb l’objectiu de poder transmetre les necessitats específiques d’aquests dos mons fins ara tan aïllats i assolir canals de comunicació d’una manera clara. D’aquesta manera es trenquen les possibles fronteres existents i es coneixen les problemàtiques dels diferents àmbits.
Per últim, fer i promoure activitats tant de formació interna a les persones de l’organització, com ara jornades de conscienciació i sensibilització, que ens permetran difondre a tota l’organització la importància de prendre mesures en l’àmbit de la ciberseguretat industrial.
- 39 - Una mirada a la ciberseguretat industrial
9. Pla d’acció en l’àmbit de la ciberseguretat industrial
En tot d’aquest document hem volgut donar una visió general de la ciberseguretat industrial per tal que les indústries catalanes entenguin els riscos i amenaces, i prenguin mesures per tal de poder evitar incidents en el futur. La ciberseguretat, avui, s’ha de considerar com a procés continu o circular i ha d’estar involucrada tota la companyia, i sobretot des de la direcció. Diem continu o circular perquè mai tindrem assegurats els nostres processos i actius, a conseqüència de la irrupció de noves eines i metodologies, així com interessos de tercers.
Per una altra banda, hi ha d’haver un lideratge clar de l’organització, que integri tant els departaments d’operació com els de sistemes, ja que cada vegada hi haurà menys fronteres... És un fet que els sistemes transaccionals i operacionals estan interrelacionats. Per aquest motiu, les indústries catalanes hauran de crear un Pla d’Acció en l’àmbit de la ciberseguretat industrial per poder afrontar possibles incidents en el futur. Aquest pla, com a mínim, haurà de constar de 5 punts:
Avalua riscos
Forma als Analitza col·laboradors vulnerabilitats
Defineix Aplica mesures politiques i crea correctives procediments
Pla d’acció en l’àmbit de la ciberseguretat industrial
- 40 - Una mirada a la ciberseguretat industrial
• Avaluació de riscos
Analitza l’estat actual de la teva xarxa industrial, quins dispositius, característiques... i fa especial èmfasi en la criticitat per al negoci de cada actiu.
• Anàlisi de vulnerabilitats
Estudia quines són les principals vulnerabilitats a través de l’anàlisi previ que has fet de la teva infraestructura OT.
• Aplicació de mesures correctives
Un cop hem identificat riscos i vulnerabilitats, prioritzarem accions i començarem a aplicar mesures de prevenció tal i com hem vist al document.
• Definició polítiques i creació procediments
L’organització ha de definir i establir de normes per tal de que tots els col·laboradors coneguin així com crear la documentació amb els procediments establerts.
• Formació dels col·laboradors
Els nostres col·laboradors han de començar a tenir coneixement en l’àmbit de la ciberseguretat.
- 41 - Una mirada a la ciberseguretat industrial
I. Annexos
Annex 1. Normes i estàndards
En l’àmbit de la ciberseguretat industrial, diferents institucions i entitats han desenvolupat un recull de documents i estàndards, que tenen com a objectiu desenvolupar polítiques i procediments en els àmbits industrials. Un exemple clar el podem trobar a la web de l’ICS- CERT, on, en funció de l’àmbit d’aplicació, fa un recull de normes i estàndards per la preparació i planificació de polítiques ciberseguretat.
• L'establiment de segmentació de la xarxa, firewall i DMZ • Contrasenyes i gestió de la configuració • Formació en sistemes de control segurs per a enginyers, tècnics, administradors i operadors • Establiment i realització d'actius, vulnerabilitat i avaluació del risc • Especificacions dels requeriments per a la implementació de sistemes de control segurs • Instal·lació i ús dels IDS i IPSs • Autenticació, autorització i control d'accés per a connexions directes i remotes • Protecció de les connexions sense fil • L'ús de VPN i xifrat de comunicacions segures • Establiment d'una topologia segura i arquitectura • Aplicar i complir amb les normes de seguretat • Garantir la seguretat en la modernització i actualització
https://ics-cert.us-cert.gov/Standards-and-References
- 42 - Una mirada a la ciberseguretat industrial
Annex 2. ANSI / ISA 95 – L’estàndard Internacional de l’Automatització Industrial
Per tal de disposar d’un marc de referència a l‘hora de relacionar les àrees de les empreses de caire industrial amb els diferents elements involucrats amb els sistemes d’automatització, farem servir la normativa ANSI / ISA 95. Aquest és l’estàndard internacional avalat per la ISA (International Society of Automation), que té com a objectiu la integració dels sistemes de control i els sistemes transaccionals de l’empresa. ISA 95 separa els diferents processos, activitats, dispositius i sistemes en 4 nivells:
Nivell 4 Gestió de negoci
Nivell 3 Gestió de l’operació
Nivell 2 Supervisió i monitorització
Nivell 1 Producció i control de procés
Nivell 0 Procés productiu
ISA 95 - Capes d’automatització Industrial
Nivell 0: Procés productiu. Nivell 1: Producció i control del procés. Dispositius que adquireixen les dades de planta, com els sensors, actuadors, PLC, DCS. Nivell 2: Supervisió i monitoratge. Dispositius que monitoritzen el procés productiu (HMI, SCADA). Nivell 3: Gestió de l’operació. Dispositius que controlen els processos productius i emmagatzemen la informació (MES, BATCH). Nivell 4: Gestió del negoci. Eines i sistemes de gestió i control de la programació de la producció, materials, inventaris i logística (ERP, CRM).
- 43 - Una mirada a la ciberseguretat industrial
Annex 3. Principals protocols de comunicació
D’acord amb els diferents nivells definits a ISA 95, la comunicació entre les diferents capes o en la mateixa capa ha anat evolucionat tant en els medis físics (cables de coure, fibres, tecnologies de ràdio), així com amb l’increment de diferents protocols estàndards i propietaris de cada fabricant (PROFIBUS, Modbus, etc...). A continuació, es mostren els principals protocols de comunicació a cada un dels nivells.
NIVELL 4 NIVELL 1 NIVELL 2 NIVELL 3 -Negoci- - Producció- -Supervisió- -Gestió Operació-
BACnet 6LoWPAN CC-link DCOM
Beckoff EtherCat CC-Link DDE DDE
CANopen DNP3 GE-SRTP FTP/SFTP
Crimson v3 (Redlion) DNS/DNSSEC HSCP GE-SRTP
DeviceNet FTE (Fault Tolerant ICCP (IEC 60870-6) IPv4/IPv6 Ethernet) GE-SRTP HART-IP IEC 61850 OPC
IEEE 802.15.4 + ZigBee (ECC) IEC 60870-5-101/104 ISA/IEC 62443 (series TCP/IP IACS) ISA/IEC 62443 (series IACS) IPv4/IPv6 MODBUS WiFi (IEEE 802,11I)
ISA SP100 ISA/IEC 62443 (series IACS) NTP
MELSEC-Q (Mitsubishi OPC Profinet Electric)
MODBUS NTP SUITELINK
Niagara Fox (Tridius) SOAP Tase-2
Omron Fins TCP/IP TCP/IP
PCWorx
ProConOs
Profibus
Profinet
Sercos II
S7 Communications (Siemens)
WiMAX
Principals protocols Industrials (Nivells ISA 95)
- 44 - Una mirada a la ciberseguretat industrial
Annex 4. Referències
1. INCIBE - Tendencias en el mercado de la Ciberseguridad Julio de 2016
2. INCIBE - I Edición del Curso MOOC Ciberseguridad en IACS
3. Industrial Internet of Things Volume G4: Security Framework IIC:PUB:G4:V1.0:PB:20160926
4. http://www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB-3.pdf
5. https://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/304901
6. ENISA. Threat Landscape 2014.
7. ENISA. Threat Landscape 2015.
8. ENISA - Communication network dependencies for ICS/SCADA Systems
9. SCADA Security – What’s broken and how to fix it – Andrew Ginter
10. La cuarta revolución industrial – Klaus Schwab
11. Shodan, “SHODAN.IO Search Engine,” [Online]. Available: https://www.shodan.io
12. DARKTRACE, https://www.darktrace.com/blog/5-cyber-security-predictions-for-2017/
13. CLAROTY, https://www.claroty.com/post/avoiding-sudden-death-ot-predictions-and- insights-for-ics-security-in-2017
14. https://ics-cert.us-cert.gov/Standards-and-References#procure
15. Terminologia de la ciberseguretat. TERMCAT http://www.termcat.cat/ca/Diccionaris_En_Linia/239/
- 45 -