Cómo evitar los nuevos Malware que esquivan la detección? Nuevas modalidades de fraude y delito electrónico Zane Ryan Director General Tel. +34 93 656 74 00 E-mail: zane.ryan@dotforce.es Mayorista de IronKey en España, Italia y Portugal
Índice Los Malware sigilosos Prevención ante medicación Recomendaciones oficiales Soluciones en el mercado Conclusiones 2
Malware sigilosos Man in the middle, Man in the browser, phishing, pharming, ingeniería social electrónica, Botnets, Root Kits: URLzone, Zeus, Zbot, SilentBanker, Clampi, SpyEye, Bugat Un troyano cuesta < de $400 Las victimas Consumidores Empresas Gobierno Ayuntamientos Según Richard Clarke, consejero a 3 presidentes de EEUU en cibercrimen: Las investigaciones suelen acabar en Rusia, Moldovia y Belarus Estos países se han convertido en cibersantuarios... 3
Asalto Global: Progamadores, Explotadores y Mulas KrebsonSecurity http://bit.ly/cjgm72 4
Estadisticas del Botnet Kneber ZeuS descubiertos por un sola empresa de investigación y detección (un mes y 80 GB analizados) 75,000 sistemas comprometidos con el troyano ZeuS Más de la mitad además infectados con Waledac 68,000 credenciales robadas 2,000 ficheros de certificados SSL robados Las victimas incluyen 2.500 entidades públicas y comerciales Desde los sectores de telecomunicaciones, servicios financieros, e- comercio, minoristas, tecnología, salud, energía, petróleo, gas, aeronáutica, entretenimiento y educación 196 Países 5
Las amenazas que no se pueden prevenir Ataques de Spear Phising Sitios Web con vínculo a un sitio infectado o cache de DNS envenenado Drive by ataques Infecciones de Botnet omnipresentes (p. ej. ZeuS, Gumblar, Storm 2.0) Networking Social, Movilidad, Web 2.0 Cloud Computing, perfiles de riesgos desconocidos Fugas de datos sin detección Vulnerabilidades de productos de Microsoft, Adobe, Oracle, Malware y más Malware que resultan de dichas vulnerabilidades 6
Amenazas avanzadas son más frecuentes de que se piensa Hay muchas variantes comerciales y no comerciales de los troyanos Ya más de 73.000 de ZeuS Evidencia de colaboración entre programadores de Malware Características nuevas: inclusión de capacidades de Backconnect proxy inverso robusto La mayoría de estas variantes no comerciales quedan invisibles para las herramientas comunes de seguridad Source: isightpartners 7
Entendimiento del entorno del adversario Phishing Drop Sites Keyloggers Payment Gateways ecommerce Site ecurrency Gambling Botnet Owners Botnet Services Spammers Validation Service (Card Checkers) ICQ Card Forums Banks Retailers Wire Transfer Drop Service Malware Distribution Service Data Acquisition Service Data Mining & Enrichment Data Sales Cashing $$$ Malware Writers Identity Collectors Credit Card Users Master Criminals 8
Source: isightpartners 9
Las bases de éxito de Malware Avaricia Facilidad de robo Los ordenadores de los usuarios son hostiles Según Microsoft en los EEUU existe el mayor número de ordenadores infectados con Botnet (2,2 millones), España presenta la mayor tasa de infecciones en Europa seguida por el Reino Unido y Alemania. Los bancos no los pueden controlar Los sistemas de perfilamiento de comportamiento reducen el éxito, pero si el ciber delincuente está controlando el ordenador del usuario, se esquiva la detección La autenticación de dos factores no es suficiente ante estas amenazas Ofuscación de intento Mulas de dinero Ciber-refugios 11 personas de países del oeste de Europa han sido detenidas por blanqueo de dinero por una conexión con el troyano ZeuS que resultó en el robo de más de 6 millones de libras esterlinas desde cuentas bancarias en el Reino Unido. SC Magazine, 04/10/2010 10
Prevenir o no prevenir? Prevención ante detección, pérdida, investigación, detención y prisión Evitar hacer negocios en línea (broma) Depende del coste del fraude Si las medidas cuestan más que el fraude, no se hacen Quién asume la responsabilidad? Quién paga por los costes del fraude? Qué nivel es aceptable? La tendencia en baja o en alza Las evidencias nos sirven de poco si no se puede recuperar el dinero Por lo menos nos puedan ayudar a reducir las fuentes de pérdidas Pero no van a acortar el fraude electrónico 11
Recomendaciones Federal Financial Institutions Examination Council (FFIEC), FBI, Financial Services Information Sharing and Analysis Center (FS-ISAC, NACHA the Electronic Payments Association y otras agencias federales Account Hijacking for Corporate Customers, Recommendation for Customer Education https://admin.nacha.org/userfiles/file/risk_and_compliance/fs- ISAC%20CAT%20WHITE%20082409.pdf Sistemas de mitigación de fraude Validación de transacciones manuales Protección profunda de la red Seguir mejores prácticas (Utilizar software de Antivirus, Antimalware etc...) Limitar derechos administrativos Forzar cambios periódicos de contraseñas Borrar cache del navegador después de cada uso Acceder al banco solamente de un ordenador dedicado, endurecido que no permite E-mail o navegación en la Web y nunca desde cibercafés Implantar sistemas de autenticación múltiples No permitir que los usuarios compartan nombres de usuario y contraseñas Etc... 12
Alternativa Casera Ejecutar un sistema operativo de código abierto desde un Pendrive con navegador que conecta solamente a la página Web del banco, empresa o entidad gubernamental Evita los problemas de gusanos en el PC anfitrión No es cómodo si el usuario tiene que consultar datos en su PC mientras hace transacciones o transferencias No es una solución para el entorno corporativo No lleva ningún tipo de control 13
Alternativas corporativas - 1 Montar una máquina virtual en un Pendrive con un navegador pre-programado para conectar a su sitio Web, VPN o aplicaciones centralizadas con Terminal Server o aplicaciones cliente/servidor y nada más Su funcionamiento dependerá de los drivers del PC anfitrión y su versión de Windows Ha de instalar un reproductor de VM en el PC El usuario necesita disponer de derechos administrativos para instalar el reproductor No sirve para el entorno consumidor Podría valer para un entorno corporativo en lo cual el reproductor se instala bajo control Implica la creación de una infraestructura compleja y costosa No necesariamente evita los problemas de gusanos en el PC, por ejemplo los keyloggers 14
Alternativas corporativas - 2 Montar un escritorio portable/virtual en un Pendrive con software de virtualización, tipo Ceedo, que se ejecuta en modo Sandbox, aislado de los procesos del PC anfitrión con un navegador pre-programado para conectar a su sitio Web, VPN o entorno de aplicaciones centralizadas y nada más Su funcionamiento no dependerá de los drivers del PC anfitrión y su versión de Windows No hace falta instalar un reproductor de VM en el PC El usuario no necesita disponer de derechos administrativos para ejecutarlo Se puede incluir software de Antimalware Se puede incluir sistemas múltiples de autenticación Tendrá control centralizado Sirve para el entorno consumidor y corporativo Evita la mayoría de los problemas de gusanos en el PC anfitrión 15
Alternativas corporativas - 3 Utilizar un Pendrive con un sistema operativo virtualizado y endurecido con un navegador pre-programado para ir a su sitio Web o utilizar otras aplicaciones de acceso, como pueden ser: VPN, Citrix etc... Más: Múltiples factores de autenticación, RSA SecurID o certificado digital Funcionalidades de firma digital para transacciones Escaneo del PC para Malware antes de ejecutar el sistema seguro Control de Read/Write Navegación mediante servidores seguros de DNS bajo control y autenticación con firma digital Opción de arrancar un sistema operativo desde el Pendrive para dar una protección del 100% de PCs infectados, incluso contra Root Kits Su funcionamiento no dependerá de los drivers del PC anfitrión y su OS No hace falta instalar un reproductor de VM en el PC El usuario no necesita disponer de derechos administrativos para ejecutarlo Tendrá control centralizado Sirve para el entorno consumidor y corporativo Firma digital para actualizaciones Evita los problemas de gusanos y troyanos en el PC anfitrión o Se cifra la entrada de datos por el teclado 16
Medidas adicionales en el entorno corporativo Complementar cualquier solución con herramientas de detección y prevención de fraude Basadas en comportamiento y no solamente en firmas de ataques conocidos Casi 60% de las incidencias de fraude ocurren con Malware que esquivan los sistemas de detección convencionales Añadir herramientas de investigación y forenses que puedan descubrir la existencia de infecciones en sus sistemas. Captura y reproducción de sesiones Visualización multimedia de las sesiones Indexación de los datos para facilitar las búsquedas 17
Para evitar tener que recurrir a la justicia Controlar el entorno de ejecución de aplicaciones Virtualizado, endurecido, en Sandbox Control Centralizado sin infraestructura compleja y costosa Utilizar múltiples métodos de validación Autenticación de múltiples factores de usuarios Comprobación de dispositivo de usuario con número de serie Capacidad de deshabilitar dispositivos remotamente Geo-localización de usuario y de ruta de comunicaciones Firma digital de transacciones KISS (Keep It Simple Stupid) No depender para nada ni fiar del usuario Mantener el control para evitar los riesgos 18
Cómo evitar los nuevos Malware que esquivan la detección? Muchas gracias Zane Ryan Director General Tel. +34 93 656 74 00 E-mail: zane.ryan@dotforce.es Mayorista de IronKey en España, Italia y Portugal 19