Cómo evitar los nuevos Malware que esquivan la detección? Nuevas modalidades de fraude y delito electrónico

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Cómo evitar los nuevos Malware que esquivan la detección? Nuevas modalidades de fraude y delito electrónico"

1 Cómo evitar los nuevos Malware que esquivan la detección? Nuevas modalidades de fraude y delito electrónico Zane Ryan Director General Tel zane.ryan@dotforce.es Mayorista de IronKey en España, Italia y Portugal

Ryan Director General Tel. +34 93 656 74 00 E-mail: zane.

2 Índice Los Malware sigilosos Prevención ante medicación Recomendaciones oficiales Soluciones en el mercado Conclusiones 2

3 Malware sigilosos Man in the middle, Man in the browser, phishing, pharming, ingeniería social electrónica, Botnets, Root Kits: URLzone, Zeus, Zbot, SilentBanker, Clampi, SpyEye, Bugat Un troyano cuesta < de $400 Las victimas Consumidores Empresas Gobierno Ayuntamientos Según Richard Clarke, consejero a 3 presidentes de EEUU en cibercrimen: Las investigaciones suelen acabar en Rusia, Moldovia y Belarus Estos países se han convertido en cibersantuarios... 3

victimas Consumidores Empresas Gobierno Ayuntamientos Según Richard Clarke, consejero a 3 presidentes de EEUU en

4 Asalto Global: Progamadores, Explotadores y Mulas KrebsonSecurity 4

5 Estadisticas del Botnet Kneber ZeuS descubiertos por un sola empresa de investigación y detección (un mes y 80 GB analizados) 75,000 sistemas comprometidos con el troyano ZeuS Más de la mitad además infectados con Waledac 68,000 credenciales robadas 2,000 ficheros de certificados SSL robados Las victimas incluyen entidades públicas y comerciales Desde los sectores de telecomunicaciones, servicios financieros, e- comercio, minoristas, tecnología, salud, energía, petróleo, gas, aeronáutica, entretenimiento y educación 196 Países 5

certificados SSL robados Las victimas incluyen 2.

6 Las amenazas que no se pueden prevenir Ataques de Spear Phising Sitios Web con vínculo a un sitio infectado o cache de DNS envenenado Drive by ataques Infecciones de Botnet omnipresentes (p. ej. ZeuS, Gumblar, Storm 2.0) Networking Social, Movilidad, Web 2.0 Cloud Computing, perfiles de riesgos desconocidos Fugas de datos sin detección Vulnerabilidades de productos de Microsoft, Adobe, Oracle, Malware y más Malware que resultan de dichas vulnerabilidades 6

Amenazas avanzadas son más frecuentes de que se piensa Hay muchas variantes comerciales y no comerciales de los troyanos Ya más de 73.

7 Amenazas avanzadas son más frecuentes de que se piensa Hay muchas variantes comerciales y no comerciales de los troyanos Ya más de de ZeuS Evidencia de colaboración entre programadores de Malware Características nuevas: inclusión de capacidades de Backconnect proxy inverso robusto La mayoría de estas variantes no comerciales quedan invisibles para las herramientas comunes de seguridad Source: isightpartners 7

000 de ZeuS Evidencia de colaboración entre programadores de Malware Características nuevas: inclusión

Entendimiento del entorno del adversario Phishing Drop Sites Keyloggers Payment Gateways ecommerce Site ecurrency Gambling Botnet Owners Botnet Services Spammers Validation Service (Card Checkers)

8 Entendimiento del entorno del adversario Phishing Drop Sites Keyloggers Payment Gateways ecommerce Site ecurrency Gambling Botnet Owners Botnet Services Spammers Validation Service (Card Checkers) ICQ Card Forums Banks Retailers Wire Transfer Drop Service Malware Distribution Service Data Acquisition Service Data Mining & Enrichment Data Sales Cashing $$$ Malware Writers Identity Collectors Credit Card Users Master Criminals 8

Forums Banks Retailers Wire Transfer Drop Service Malware Distribution Service Data Acquisition Service

9 Source: isightpartners 9

10 Las bases de éxito de Malware Avaricia Facilidad de robo Los ordenadores de los usuarios son hostiles Según Microsoft en los EEUU existe el mayor número de ordenadores infectados con Botnet (2,2 millones), España presenta la mayor tasa de infecciones en Europa seguida por el Reino Unido y Alemania. Los bancos no los pueden controlar Los sistemas de perfilamiento de comportamiento reducen el éxito, pero si el ciber delincuente está controlando el ordenador del usuario, se esquiva la detección La autenticación de dos factores no es suficiente ante estas amenazas Ofuscación de intento Mulas de dinero Ciber-refugios 11 personas de países del oeste de Europa han sido detenidas por blanqueo de dinero por una conexión con el troyano ZeuS que resultó en el robo de más de 6 millones de libras esterlinas desde cuentas bancarias en el Reino Unido. SC Magazine, 04/10/

Los bancos no los pueden controlar Los sistemas de perfilamiento de comportamiento reducen el éxito, pero si el ciber delincuente está controlando el ordenador del usuario, se esquiva la detección La

11 Prevenir o no prevenir? Prevención ante detección, pérdida, investigación, detención y prisión Evitar hacer negocios en línea (broma) Depende del coste del fraude Si las medidas cuestan más que el fraude, no se hacen Quién asume la responsabilidad? Quién paga por los costes del fraude? Qué nivel es aceptable? La tendencia en baja o en alza Las evidencias nos sirven de poco si no se puede recuperar el dinero Por lo menos nos puedan ayudar a reducir las fuentes de pérdidas Pero no van a acortar el fraude electrónico 11

del fraude Si las medidas cuestan más que el fraude, no se hacen Quién asume la responsabilidad?

12 Recomendaciones Federal Financial Institutions Examination Council (FFIEC), FBI, Financial Services Information Sharing and Analysis Center (FS-ISAC, NACHA the Electronic Payments Association y otras agencias federales Account Hijacking for Corporate Customers, Recommendation for Customer Education ISAC%20CAT%20WHITE% pdf Sistemas de mitigación de fraude Validación de transacciones manuales Protección profunda de la red Seguir mejores prácticas (Utilizar software de Antivirus, Antimalware etc...) Limitar derechos administrativos Forzar cambios periódicos de contraseñas Borrar cache del navegador después de cada uso Acceder al banco solamente de un ordenador dedicado, endurecido que no permite o navegación en la Web y nunca desde cibercafés Implantar sistemas de autenticación múltiples No permitir que los usuarios compartan nombres de usuario y contraseñas Etc... 12

pdf Sistemas de mitigación de fraude Validación de transacciones manuales Protección profunda de la red Seguir mejores prácticas (Utilizar software de Antivirus, Antimalware etc.

13 Alternativa Casera Ejecutar un sistema operativo de código abierto desde un Pendrive con navegador que conecta solamente a la página Web del banco, empresa o entidad gubernamental Evita los problemas de gusanos en el PC anfitrión No es cómodo si el usuario tiene que consultar datos en su PC mientras hace transacciones o transferencias No es una solución para el entorno corporativo No lleva ningún tipo de control 13

gusanos en el PC anfitrión No es cómodo si el usuario tiene que consultar datos en su PC mientras hace

Alternativas corporativas - 1 Montar una máquina virtual en un Pendrive con un navegador pre-programado para conectar a su sitio Web, VPN o aplicaciones centralizadas con Terminal Server o

14 Alternativas corporativas - 1 Montar una máquina virtual en un Pendrive con un navegador pre-programado para conectar a su sitio Web, VPN o aplicaciones centralizadas con Terminal Server o aplicaciones cliente/servidor y nada más Su funcionamiento dependerá de los drivers del PC anfitrión y su versión de Windows Ha de instalar un reproductor de VM en el PC El usuario necesita disponer de derechos administrativos para instalar el reproductor No sirve para el entorno consumidor Podría valer para un entorno corporativo en lo cual el reproductor se instala bajo control Implica la creación de una infraestructura compleja y costosa No necesariamente evita los problemas de gusanos en el PC, por ejemplo los keyloggers 14

El usuario necesita disponer de derechos administrativos para instalar el reproductor No sirve para el entorno consumidor Podría valer para un entorno corporativo en lo cual el

15 Alternativas corporativas - 2 Montar un escritorio portable/virtual en un Pendrive con software de virtualización, tipo Ceedo, que se ejecuta en modo Sandbox, aislado de los procesos del PC anfitrión con un navegador pre-programado para conectar a su sitio Web, VPN o entorno de aplicaciones centralizadas y nada más Su funcionamiento no dependerá de los drivers del PC anfitrión y su versión de Windows No hace falta instalar un reproductor de VM en el PC El usuario no necesita disponer de derechos administrativos para ejecutarlo Se puede incluir software de Antimalware Se puede incluir sistemas múltiples de autenticación Tendrá control centralizado Sirve para el entorno consumidor y corporativo Evita la mayoría de los problemas de gusanos en el PC anfitrión 15

su versión de Windows No hace falta instalar un reproductor de VM en el PC El usuario no necesita disponer de derechos administrativos para ejecutarlo Se puede incluir software de Antimalware

16 Alternativas corporativas - 3 Utilizar un Pendrive con un sistema operativo virtualizado y endurecido con un navegador pre-programado para ir a su sitio Web o utilizar otras aplicaciones de acceso, como pueden ser: VPN, Citrix etc... Más: Múltiples factores de autenticación, RSA SecurID o certificado digital Funcionalidades de firma digital para transacciones Escaneo del PC para Malware antes de ejecutar el sistema seguro Control de Read/Write Navegación mediante servidores seguros de DNS bajo control y autenticación con firma digital Opción de arrancar un sistema operativo desde el Pendrive para dar una protección del 100% de PCs infectados, incluso contra Root Kits Su funcionamiento no dependerá de los drivers del PC anfitrión y su OS No hace falta instalar un reproductor de VM en el PC El usuario no necesita disponer de derechos administrativos para ejecutarlo Tendrá control centralizado Sirve para el entorno consumidor y corporativo Firma digital para actualizaciones Evita los problemas de gusanos y troyanos en el PC anfitrión o Se cifra la entrada de datos por el teclado 16

.. Más: Múltiples factores de autenticación, RSA SecurID o certificado digital Funcionalidades de firma digital para transacciones Escaneo del PC para Malware antes de ejecutar el sistema seguro

17 Medidas adicionales en el entorno corporativo Complementar cualquier solución con herramientas de detección y prevención de fraude Basadas en comportamiento y no solamente en firmas de ataques conocidos Casi 60% de las incidencias de fraude ocurren con Malware que esquivan los sistemas de detección convencionales Añadir herramientas de investigación y forenses que puedan descubrir la existencia de infecciones en sus sistemas. Captura y reproducción de sesiones Visualización multimedia de las sesiones Indexación de los datos para facilitar las búsquedas 17

sistemas de detección convencionales Añadir herramientas de investigación y forenses que puedan descubrir la existencia de infecciones en

18 Para evitar tener que recurrir a la justicia Controlar el entorno de ejecución de aplicaciones Virtualizado, endurecido, en Sandbox Control Centralizado sin infraestructura compleja y costosa Utilizar múltiples métodos de validación Autenticación de múltiples factores de usuarios Comprobación de dispositivo de usuario con número de serie Capacidad de deshabilitar dispositivos remotamente Geo-localización de usuario y de ruta de comunicaciones Firma digital de transacciones KISS (Keep It Simple Stupid) No depender para nada ni fiar del usuario Mantener el control para evitar los riesgos 18

Comprobación de dispositivo de usuario con número de serie Capacidad de deshabilitar dispositivos remotamente Geo-localización de usuario y de ruta

19 Cómo evitar los nuevos Malware que esquivan la detección? Muchas gracias Zane Ryan Director General Tel Mayorista de IronKey en España, Italia y Portugal 19

Documentos relacionados

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos Manuel Arrevola Director General Comercial Zitralia 21-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD