Robos, sabotajes, destrucción de sistemasTema 1 - Practica 5 Amenazas Redes Sociales de Internet, se multiplican los casos de odio a lo diferente: a los extranjeros, contra la Discriminación,

Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López

Tema 1 - Practica 5

Amenazas

24/09/2012 Página 1

Robos, sabotajes, destrucción de sistemas

USD 10 millones en pérdidas por sabotaje informático. Oslo (PM-Press) 24.02.98: Luego de haber sido despedido, un programador de Omega Engineering decidió vengarse de la compañía borrando todo su software.

La delincuencia informática constituye un problema cada vez más grave a nivel mundial, al grado tal que países como Estados Unidos han designado incluso comisiones especiales destinadas a establecer el potencial de daño que representan los terroristas con conocimientos de informática.

Sin embargo, los informes sobre la materia existentes hasta el momento dan cuenta de que el sector más afectado es el corporativo, que anualmente sufre cuantiosas pérdidas a nivel mundial debido al sabotaje informático. El último caso corresponde a la compañía Omega Engineering, que recientemente se vio expuesta a la ira vengativa de su ex programador Timothy Lloyd, quien luego de haber sido despedido borró todo el software cargado en las computadoras de la compañía.

El sabotaje fue realizado mediante una "bomba lógica" que Lloyd activó diez días después de haber perdido el trabajo. La acción podría significar 15 años de prisión para el saboteador, además del pago de millonarias multas e indemnizaciones.

Expertos en criminalidad informática señalan que los sistemas de seguridad de una compañía no son mejores que las personas que los administran. Por ello, recomiendan a las gerencias de empresas con dependencia crítica de sus sistemas informáticos que, en caso de decidir despedir a un administrador de sistemas, le escolten a la puerta del edificio desde el momento mismo en que sea notificado de su despido. Posteriormente deberán cambiarse todas las contraseñas y códigos de vital importancia. La medida parece drástica y en algunos casos incluso pudiera interferir con la legislación laboral, en lo relativo a las causales de despido con efecto inmediato.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 2

Catástrofes, Incendios, Cortes de suministro eléctrico

Al menos 43 vuelos de la compañía Iberia fueron cancelados en toda España hasta las 20.00 horas de ayer a causa de la avería registrada por la mañana en el sistema informático de la compañía, lo que también ocasionó numerosos retrasos, según informaron fuentes de Aeropuertos Españoles y Navegación Aérea (AENA). Diecisiete de los vuelos cancelados tenían como origen el aeropuerto de Madrid-Barajas, trece el de Barcelona y cuatro el de La Coruña. En los aeropuertos de Palma de Mallorca, Bilbao, Sevilla y Valencia fueron cancelados dos vuelos, mientras que otro más, que tenía como punto de partida Tenerife Sur, tuvo que ser cancelado La avería de Iberia se produjo a las 10.00 horas a consecuencia de un incendio en la sala de ordenadores de las dependencias del sistema central de facturación de la compañía, ubicado en el edificio de La Muñoza (Madrid). Viaje en autobús Como consecuencia de esta situación, Iberia fletó autobuses a La Coruña, Bilbao, Valencia y Asturias para trasladar a estas ciudades a los pasajeros cuyos vuelos se vieron afectados por el fallo en el sistema informático de la compañía. Según informaron fuentes de la aerolínea, se tomó esta medida y el alojamiento en hoteles de algunos pasajeros cuyos vuelos se han retrasado hasta hoy, a raíz de las demoras y cancelaciones de algunas rutas por la paralización de los sistemas informáticos causada por el incendio.

Los técnicos continúan a última hora de ayer trabajando en las labores de reparación de la avería, que ha ocasionado que los procesos de facturación y embarque de Iberia se lleven a cabo de forma manual. Afectados todos los aeropuertos Todos los aeropuertos españoles registraron «retrasos significativos» en los vuelos de Iberia, como consecuencia del incendio declarado a las 10.00 horas en los servicios informáticos centrales de la compañía aérea. Además, la facturación y la emisión manual de las tarjetas de embarque, lo que implica que las operaciones de esta aerolínea no se realizaran con la celeridad suficiente para embarcar a la hora prevista y para no afectar a otros vuelos.

El aeropuerto madrileño tenía previsto operar ayer 1.130 aterrizajes y despegues. Ante ello, Aena reforzó los servicios de información a los pasajeros en colaboración con la aerolínea.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 3

Ataques a un sistema informático

El sistema informático de la Casa Blanca fue blanco de un ciberataque, según informó este lunes un funcionario estadounidense de alto nivel, aunque señaló que no se había logrado acceder a ningún contenido clasificado.

No hay evidencia de que se hayan extraído datos durante el incidente, manifestó el funcionario, quien agregó que el ataque fue identificado rápidamente y que no se expandió. El incidente fue descrito como 'Spear phishing', término usado para denominar un intento de penetración mediante correos electrónicos falsos de un remitente confiable, que el funcionario dijo que "no son infrecuentes". El pasado domingo, una información del sitio de noticias Freebeacon, que se describe a sí mismo como una alternativa a "la izquierda profesional", aseguró que un grupo de 'hackers' chinos habían logrado entrar en el sistema militar de la Casa Blanca. La Casa Blanca no identificará al grupo responsable del ataque ni brindará especificaciones sobre cuándo se efectuó ni cuál era el objetivo al que apuntaba. China tiene la base de usuarios de Internet más grande del mundo, con 485 millones de usuarios, y se cree que es responsable de una serie de ataques cibernéticos que apuntaron al Gobierno y a compañías de Estados Unidos. "En esta ocasión, el ataque fue identificado, el sistema fue aislado, y no hay indicios de que se haya extraído absolutamente ningún dato", señaló el funcionario. "Asimismo, nunca hubo un impacto o intento de alcanzar ningún sistema clasificado", añadió. La administración del presidente Barack Obama está preparándose para lanzar una orden ejecutiva que exija a las agencias federales desarrollar nuevas guías para proteger las redes informáticas de los ciberataques. La Casa Blanca tomó la nueva medida después de que el Congreso fracasara previamente este año en aprobar una ley de ciberseguridad más exhaustiva.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 4

Ciberfraude

Detectados tres nuevos casos de fraude financiero en EE UU.

Cuatro financieros han sido detenidos por estafar más de 500 millones de dólares mediante transacciones de valores y transferencias bancarias ilegales.

Las autoridades estadounidenses han detectado tres nuevos casos de estafa a través de transacciones de valores y transferencias bancarias ilegales, por los que este miércoles fueron detenidos cuatro financieros. La acusación más grave recayó sobre los inversores neoyorquinos Paul Greenwood y Stephen Walsh, de la compañía WG Trading, que fueron arrestados bajo la acusación de estafar más de 550 millones de dólares a diversas universidades y organizaciones benéficas. La Fiscalía del Distrito Sur de Nueva York informó en un comunicado de que Greenwood, de 61 años, y Walsh, de 64, supuestamente han desviado a sus cuentas personales el capital de varios planes de pensiones e instituciones como las universidades de Pittsburgh y Carnegie Mellon.

Al parecer, Greenwood se apropió de cerca de 293 millones de dólares, que destinó el dinero a la compra de bienes privados como caballos y artículos de colección, mientras que Walsh se embolsó unos 261 millones, que ingresó en la cuenta de su actual ex mujer.

Por otra parte, ayer también fue detenido James Nicholson, fundador de la firma de inversiones Westgate Capital Management, acusado de delitos similares. Según la Fiscalía y el FBI, Nicholson, de 42 años, informaba a sus clientes de que Westgate Capital Management, con sede en la población neoyorquina de Pearl River, contaba con activos que oscilaban entre los 600 y los 900 millones de dólares, cuando el valor real era inferior. Los inversores le confiaron al menos 100 millones de dólares desde 2004, con la promesa además de que sus cuentas estaban siendo auditadas por una entidad independiente, algo que según las autoridades era falso.

Asimismo el financiero neoyorquino Mark Bloom, de 57 años, fue arrestado por estafar unos diez millones de dólares a diversos inversores en transaciones de valores y de realizar transferencias bancarias ilegales. Presuntamente, Bloom ha engañado a clientes del fondo de inversión North Hills, que él gestionaba, desviando al menos el 50% del capital a otro fondo sin comunicarlo a los titulares y cobrando comisiones que ascienden a 1,6 millones de dólares en 2005. La Fiscalía de Nueva York y el FBI han informado de que el detenido también se ha apropiado supuestamente de diez millones de dólares del fondo que gestionaba, con los que compró un piso en Manhattan y otros bienes personales.

Los cuatro detenidos se enfrentan a penas de hasta 20 años de cárcel cada uno por delitos relacionados con transacciones de valores fraudulentas, mientras que Greenwood, Walsh y Bloom también podrían ser condenados a otros 20 años por transferencia bancarias ilegales. Además, Nicholson se arriesga a otra pena de 30 años por un delito de fraude bancario.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 5

Ciberdelito

Aumentan los casos de violencia grupal en las redes sociales

Consecuencia de una realidad existente fuera de la red, en ella, y más concretamente en las Redes Sociales de Internet, se multiplican los casos de odio a lo diferente: a los extranjeros, discapacitados, al otro sexo, etc... Facebook dio de baja en su red hace unas semanas a un grupo que se burlaba de una mujer discapacitada que pedía limosna en las calles de Bahía Blanca Argentina, en la provincia de Buenos Aires. La psicóloga Silvia Scheider lo había descubierto y denunciado ante el Instituto contra la Discriminación, la Xenofobia y el Racismo (Inadi). Algunos miembros del grupo suspendido crearon otro para, esta vez, burlarse de la psicóloga denunciante. Cerca de 3740 personas conformaron el primer grupo en el que se discriminaba a la joven discapacitada con palabras como "El día que me compre una F-100 le apunto al medio". En tanto, unas 340 llegaron a sumarse al segundo. Pero son miles de usuarios más los que día a día se suman a otros grupos en donde el odio es la consigna convocante. "Odio a los bolivianos y a los paraguayos"; "echemos a los floggers de Facebook"; "muerte a los negros villeros" son algunas de las consignas que agrupan a miembros de Facebook, la red social de la gustan decir que, si fuera un país, sería el octavo del mundo, pues tiene más población que Rusia y que Japón. "No hay que demonizar a la Web, Internet sólo refleja un problema cultural grave que existe en la sociedad donde es protagonista el odio y la discriminación", asegura María José Lubertino, titular del Inadi. Ese organismo recibe por día unas 50 denuncias sobre sitios de Internet en los que se discrimina a personas. "No hay una legislación que regule esos contenidos; entonces, debemos regularlo según las leyes existentes, porque la Web no es un mundo paralelo", opinó Lubertino. "La ley 23.592, sobre actos de discriminación, es muy clara pero, como las empresas que facilitan redes sociales como Facebook se encuentran en el extranjero nosotros sólo podemos pedirles que den de baja al grupo en cuestión y tomar medidas contra quienes crearon un contenido discriminatorio", explica. Según el artículo 3° de esa ley: "Serán reprimidos con prisión de un mes a tres años los que participaren en una organización o realizaren propaganda basados en ideas o teorías de superioridad de una raza o de un grupo de personas de determinada religión, origen étnico o color, que tengan por objeto la justificación o promoción de la discriminación racial o religiosa en cualquier forma".


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 6

Un informe de 2007 del Consejo de Derechos Humanos de las Naciones Unidas indica que, con respecto a Internet, no se aprecia un "vacío normativo" pero sí un "vacío de aplicación". Por eso, recomienda "la prevención, supervisión y sanción de los actos de incitación al odio racial y religioso", así como el deber del Estado y la sociedad en educar contra la discriminación.

Amenazas reales

Ayer la versión española de The Inquirer nos "obsequiaba" con esta noticia. Un error de un técnico de sistemas provoca una pérdida de datos valorada en 38000 millones de dólares. Sin duda alguna, un incidente de seguridad de impacto muy alto. ¿Qué conclusiones podemos sacar si analizamos el hecho? El artículo afirma que un técnico borró una determinada información por error. Es una de las amenazas estándar de cualquier guía: errores en la administración de sistemas.¿ Estaba bien gestionado el riesgo asociado a ella? El valor de la información es, por lo que parece, muy alto. ¿Cuál es la probabilidad de ocurrencia de la amenaza? A priori debería ser baja... con un técnico "estándar". Pero en este caso es un técnico que no sólo ha borrado la información por error, sino que ha terminado formateando el disco en el que residía la copia de seguridad. En caso de que hubiera sido un técnico suficientemente capacitado, no parece viable este resultado. Por tanto, tenemos que suponer que aparenta ser un técnico de bajo nivel de cualificación. Por tanto, la probabilidad debería ser media o alta. ¿Cuál es la vulnerabilidad de los datos frente a la amenaza? ¿Cuáles son las protecciones existentes? En principio, había 3 copias de la información: la original, la copia de seguridad y las cintas de backup. Por lo tanto, la vulnerabilidad parece baja. Con lo cual, el resultado final parece llevarnos a que el nivel de riesgo en este caso sería de nivel bajo, usando una escala de 5 valores y calculando el nivel de riesgo como valor x amenaza x vulnerabilidad. La pregunta es: ¿Era necesario tratar ese riesgo con contramedidas adicionales? Es aceptable un nivel de riesgo bajo? Esa es una decisión de empresa, pero en este caso deberíamos asumir que sí (pese a que con activos de tan alto valor económico alguien pudiese pensar que sólo debería ser aceptable un nivel de riesgo muy bajo), ya que no tenemos más datos para valorarlo. Entonces, si asumimos que la gestión del riesgo se ha llevado a cabo de la forma correcta, dónde ha estado el problema? Pues parece que en este caso el gran problema es el tema del que tanto se habla últimamente en este mundillo: la monitorización, medida y seguimiento de los controles establecidos. Y en este caso, llevados a una contramedida muy concreta: verificar los backups. Esa operación que tantas veces se suele obviar, y que los consultores no nos cansamos de repetir cuando hablamos de backups y continuidad...


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 7

De todos modos, el resultado podría haber sido peor. En este caso, el plan de contingencias ha surtido efecto: aunque haya habido que invertir 220000 dólares en ponerlo en práctica, la copia en papel ha permitido no perder definitivamente la información, que ha vuelto a ser introducida en los sistemas. De todos modos, en casos como estos es donde se aprecia realmente el valor de contramedidas más sencillas, como puede ser la de dar suficiente formación a los técnicos o la de contratar a técnicos de mayor perfil de cualificación.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 8

c) Utilización de un antivirus on line y un antivirus en modo local. Se usara el programa online de bitdefender para el analisis online.

Con un consumo de CPU de:


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 9

El antivirus online la unica informacion que nos aporta es que no tiene ninguna infeccion en el ordenador no te dice nada de los analisis a carpetas que ha hecho, etc.

Con respecto al análisis local es el siguiente:


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 10

Con un consumo de CPU:

En la imagen se puede ver el tiempo que duro analizando el equipo, los archivos y la cantidad de datos examinados. Mucha mas completo que el antivirus online.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 11

d) Instala dos aplicaciones antimalware en modo local y realiza su comprobación en el PC. El primer antimalware es el siguiente: Malwarebytes Malwarebytes su interfaz principal es la siguiente. Además aquí como vemos hay tres opciones a escoger. Escáner Examen Rápido Examen Completo, (Éste durará más)


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 12

Si elegimos de realizar un examen completo nos preguntara sobre que discos queremos realizarlo, para que nos dure menos lo haremos sobre el pendrive.

Una vez finalizado el análisis se nos abrirá un bloc de notas y el resultado de dicho análisis:

Además tenemos un bloc de notas con el que tendremos más información sobre el análisis.


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 13

El otro antimalware usado es Ashampo, con la siguiente interfaz grafica y comenzara a realizarse un análisis del sistema completo:


Tema 1 - Practica 5

Amenazas

24/09/2012 Página 14

El consumo de la CPU mientras se realiza el analisis como se puede ver en estos equipos es minimo. Con este malware hemos podido descubrir que tenemos en el equipo un TROYANO. Por lo que despues del analisis procedimos a eliminarlo.

Documents

Robos, sabotajes, destrucción de sistemasTema 1 - Practica 5 Amenazas Redes Sociales de Internet, se multiplican los casos de odio a lo diferente: a los extranjeros, contra la Discriminación,