Evolución de Trickbot

12 de junio de 2017 Por

Desde el laboratorio de malware de S2 Grupo llevamos tiempo vigilando los movimientos de un troyano conocido como Trickbot. Su relación con Dyre, otro troyano más antiguo con el que comparte muchas características de diseño, y la velocidad a la que evoluciona, ha captado nuestro interés desde que vimos las primeras muestras.

Este malware se suele catalogar como troyano bancario puesto que hasta el momento ha estado muy orientado al robo de datos referentes a banca, pero su diseño modular permite que en cualquier momento puedan ampliar sus capacidades para realizar cualquier tipo de acción extra.

Durante sus primeras versiones, ya se realizaron muy buenos análisis como los de @hasherezade en el blog de malwarebytes y de Xiaopeng Zhang en el de Fortinet. Pero el desarrollo de Trickbot ha seguido durante los últimos meses, llegando a la versión 17 en menos de 6 meses. Por ello hemos pensado que sería interesante comprobar los cambios que ha sufrido durante su evolución y profundizar en algunas de sus técnicas más curiosas a la hora de realizar distintas acciones.

Junto con estos factores, un reciente aumento en sus objetivos y campañas de infección, ha motivado que decidamos dedicar tiempo y esfuerzo extra en realizar un análisis más profundo de esta amenaza.

Hemos recopilado el resultado de dicho análisis en el reporte que adjuntamos a continuación y que esperamos resulte de utilidad a más de uno.

– Descargar informe –

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

9 de junio de 2017 Por

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?

Un poco de historia: Vasili Mitrokhin fue un archivista del KGB que, tras la disolución de la URSS, desertó y colaboró con el MI6 británico; el material exfiltrado por Mitrokhin, que dio lugar a varios libros que se conocen en su conjunto como “el archivo Mitrokhin”, desvelaba entre otros muchos secretos que el líder soviético Mikhail Gorbachev ya consideraba el espionaje industrial como un aspecto clave para la supervivencia económica y para la reestructuración del país. Esto se puso de manifiesto tras la disolución de la URSS, tanto que de conformidad con su base jurídica ([3]), el objetivo de la inteligencia rusa ha sido recabar información en los ámbitos político, económico, militar, científico, técnico y ecológico para apoyar el desarrollo económico y el progreso científico-técnico y militar de la Federación Rusa; incluso el GRU tiene encomendada la adquisición de información militar, político-militar, tecnológica-militar y económica-militar. En otras palabras, a Rusia le preocupa su defensa, tanto militar como económica, desde la era soviética (a partir de la información de Mitrokhin) hasta la Rusia de final del siglo pasado. Algo, por otra parte, completamente lógico en cualquier país moderno.

Pero no es necesario remontarse ni al archivo Mitrokhin ni a la legislación que regula la inteligencia rusa para identificar las necesidades de información rusas; revisando algo más reciente, la Estrategia de Seguridad Nacional ([1]) y algunos de sus análisis (como [2]), se puede inferir que, como hemos dicho, la seguridad nacional rusa ya no se basa únicamente en las amenazas militares o políticas a la Madre Rusia -que también- sino que se habla de términos como seguridad económica o seguridad a través del desarrollo del país. En esta Estrategia de Seguridad Nacional se definen claramente las prioridades e intereses rusos:

  • Defensa nacional, que aparece en primer lugar como la prioridad básica de la Estrategia, y que hace la obligada referencia a la OTAN, a la protección de las fronteras rusas, a la estabilidad en la zona que rodea geográficamente a Rusia…
  • Seguridad pública, basada protección del sistema y la soberanía rusos -y de sus ciudadanos-; ya hablamos del modo “Guerra Fría” y del “Rusia está en peligro”, no sólo físico sino también espiritual…
  • Mejora de la calidad de vida de los ciudadanos rusos, mediante la garantía de servicios y suministros básicos: agricultura, biotecnología, farmacia, infraestructuras críticas…
  • Crecimiento económico, mediante el desarrollo de tecnología y modernización de sectores clave para la economía, como el financiero o el energético, con una mención especial a las nuevas tecnologías.
  • Ciencia, tecnología y educación, proporcionando ventajas competitivas a la economía y defensa rusas mediante una estrecha colaboración público-privada; la Estrategia plasma una especial preocupación por la dependencia tecnológica de terceros países y por la transferencia del conocimiento ruso al extranjero.
  • Salud, proporcionando a los ciudadanos rusos un sistema de salud moderno con una importante componente técnica y tecnológica: informática y comunicaciones, farmacia, biotecnología, nanotecnología…
  • Cultura rusa, protegiendo la unión de todos los territorios rusos y de sus ciudadanos -diferentes etnias, culturas, problemáticas, demografía…-, en especial frente a terceros que quieran romper o corromper los valores rusos.
  • Ecología y recursos naturales, evitando el agotamiento de los recursos naturales rusos, como el mineral… o el agua.
  • Estabilidad estratégica y colaboraciones equitativas con terceros, manteniendo a Rusia como un actor clave dentro del panorama internacional -político, militar, diplomático…-.

Para asegurar estos elementos prioritarios, Rusia debe focalizar sus necesidades de información en diferentes ámbitos que pueden extraerse de la propia estrategia: defensa, seguridad interior, tecnología, energía, política, diplomacia, energía, economía, ecología… En resumen, las necesidades de información rusas han cambiado poco desde 1996 -algo que, por otra parte, es perfectamente normal-, y la ley firmada por Yeltsin a la que ya hemos hecho referencia ([3]) las dejaba claras: política, economía, defensa, ciencia, tecnología y ecología son las prioridades de la inteligencia rusa, que podemos agrupar en dos grandes frentes: la protección económica de Rusia en el sentido amplio de la palabra (incluyendo robo de información científica o técnica para proporcionar una ventaja competitiva a Rusia) y la defensa del país también en el sentido más amplio (desde el ámbito militar hasta el político… o el cultural). Por supuesto, no se trata de dos frentes inconexos, sino que se relacionan entre sí para tratar de proteger al país en el panorama internacional: el progreso técnico también se aplica al ámbito militar, por poner un ejemplo. El objetivo: garantizar su progreso y posición internacional, salvaguardando a la Madre Rusia de cualquier amenaza. ¿Recordamos aquello del modo Guerra Fría?

Empecemos por el final: la ecología. El interés ruso por el medio ambiente es histórico: Rusia tiene un Ministerio denominado “de Recursos Naturales y Medio Ambiente” o una Agencia Federal para la supervisión de asuntos ecológicos, tecnológicos y nucleares (Rostekhnadzor); además, justo este año 2017 ha sido declarado por Putin como año de la ecología. Pero, ¿por qué tanto interés ecológico? ¿Por qué el Kremlin mantiene la ecología como uno de sus intereses prioritarios? Si nos fijamos en los nombres y atribuciones del Ministerio y la Agencia Federal que hemos comentado podemos intuir una explicación: cuando se habla de ecología no debemos entenderla en el sentido del respeto al medio ambiente, sino como la protección de los recursos naturales rusos y la superioridad que dichos recursos proporcionan al país; dicho de otra forma: “ecología” en ruso significa, más o menos, “energía”. Ya dijimos al principio de esta serie de posts que Rusia posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo. Obviamente Rusia sabe que esto le proporciona una posición ventajosa frente a otros países, usa esta ventaja y por supuesto la protege; por tanto, cuando se habla de ecología se habla de energía, y de hecho Rusia en más de una ocasión ha utilizado sus reservas energéticas para obtener influencia mundial o, al menos sobre otros países de los que Rusia es proveedor (recordemos la novena prioridad de las expuestas anteriormente: mantenimiento de Rusia como un actor clave en el panorama internacional). Curiosamente, algunas APT tan dirigidas a objetivos energéticos como Sandworm o Energetic Bear están atribuidas a Rusia, bien o mal. Sólo curiosamente.

En relación al ámbito científico y técnico, en [7] se puede obtener una excelente visión de las actividades de inteligencia rusas en estas áreas. Rusia mantiene una actividad comparable, según todas las hipótesis o incluso las declaraciones de altos cargos de la ODNI estadounidense o del MI5 británico, a la de la antigua Unión Soviética e identifica claramente sectores clave para su desarrollo ([1]): energía -de la que ya hemos hablado-, tecnologías de la información, telecomunicaciones, biomedicina, farmacia, tecnología nuclear, nanotecnología… Y para lograr este desarrollo la inteligencia de señales, de todas las señales, juega un rol muy interesante para los servicios rusos, quizás por encima de la inteligencia de fuentes humanas, aunque también es cierto que diferentes países han expulsado a científicos de sus universidades, empresas y centros de investigación por descubrir robos de información presuntamente vinculados a los servicios rusos, desde Suecia (Ericsson, 2002) hasta Holanda (Universidad de Tecnología de Eindhoven, 2014). Ya en inteligencia de señales, estas necesidades de información pueden convertir en objetivos de la inteligencia rusa a empresas, universidades, centros de investigación… sin importar su tamaño -una APT es más barata que las fuentes humanas- que trabajen en tecnología puntera, I+D+i, diseños, patentes… de los campos citados con anterioridad. Aunque quizás siempre pensemos que el actor más activo en estos ámbitos es China, recordemos a Jeffrey Carr: “The threat from China is over-inflated, while the threat from Russia is underestimated”.

Como hemos dicho, el FSB o el resto de servicios buscan hacer cada vez más competitiva a Rusia en el panorama internacional ([6]), y obtener esa posición relevante y apoyar el progreso de la nación no se basan exclusivamente en ciencia y tecnología, que también, sino que se extienden a la adquisición de información que proporcione una ventaja económica directa; en este ámbito, en el económico, algunos analistas ([5]) identifican una guerra abierta entre el SVR y el GRU, guerra a la que tampoco es ajeno el FSB: ya hemos hablado en anteriores posts de la serie de las acusaciones del DoJ estadounidense contra agentes del FSB en relación al ataque a Yahoo, a los que acusa, entre otras cosas, de espionaje económico. Como cualquier actor del mundo (cualquiera), Rusia aprovecha sus capacidades y actividades de inteligencia para obtener un beneficio económico para el país y para catalizar el desarrollo tecnológico nacional; recordemos la base jurídica a la que hemos hecho referencia, que encomienda a la inteligencia apoyar el desarrollo económico y el progreso científico-técnico y militar del país. Este apoyo puede implicar desde robo de información por parte de una APT hasta compromisos más severos, por ejemplo para reforzar la posición de empresas nacionales en concursos frente a empresas de terceros países.

En cualquier caso, la principal prioridad rusa parece seguir siendo la defensa. Militarmente, Rusia tiene claras sus necesidades, y éstas pasan por el interés en la información de sus vecinos y en el ámbito OTAN; y en especial, de sus vecinos cercanos al ámbito OTAN, como son las ex Repúblicas Soviéticas más cercanas a la influencia de la Alianza. Rusia considera “inaceptable” el acercamiento de la OTAN a sus fronteras, que ve como una amenaza a la integridad de la Madre Rusia (de nuevo, recordemos todo aquello del modo Guerra Fría); de esta manera, la inteligencia rusa puede tener interés, hipotéticamente, en tratar de debilitar a “Occidente” (el ámbito OTAN, dicho de otra forma): una OTAN fuerte es un peligro para los rusos, al menos bajo su punto de vista. Curiosamente, como siempre, APT28 tiene entre sus objetivos a organizaciones como OTAN u OSCE, empresas europeas que trabajan para defensa y países del este de Europa, entre otros.

También relativo a la defensa, aunque quizás más cercano a la seguridad interior (o a la “seguridad pública” según la estrategia), Rusia está preocupada por el terrorismo cerca o incluso dentro de sus fronteras; el golpe sufrido por el país en el teatro Dubrovka de Moscú en octubre de 2002 hizo ver a Rusia su exposición al terrorismo en el mismo corazón del país -no hablaremos de los atentados en apartamentos (1999) y su análisis-. Adicionalmente, Rusia ha sufrido terribles ataques indiscriminados de grupos islamistas, algunos cercanos -en otros no tanto- al independentismo de determinadas repúblicas rusas; recordemos el derribo del avión de Metrojet o, ya este mismo año, los ataques en el metro de San Petersburgo. Su controvertido rol en conflictos como el sirio han puesto al país en el punto de mira de diferentes grupos, con lo que las necesidades de información en este sentido están más que justificadas. De hecho, según algunos analistas ([8]) APT28 está muy interesada en Siria desde el inicio del conflicto, algo de nuevo compatible con las supuestas necesidades de información del gobierno ruso.

Por último, en el ámbito político y diplomático, como en el de defensa, Rusia tiene un especial interés en lo que denominan “Occidente”; algunos servicios europeos, como el AIVD holandés ([4]), han alertado públicamente del interés ruso en la desestabilización de la Unión Europea -y por extensión de la OTAN- a través de una estrategia de “divide y vencerás” en la que a través de diferentes vías, una de ellas la del suministro energético, Moscú trata de atraer a estados miembros a su órbita; por este motivo, parece lógico que un interés muy relevante en cuanto a necesidades de información para la inteligencia rusa sea conocer cómo influenciar, directa o indirectamente, en las grandes decisiones de terceros países, por supuesto para aprovechar esa influencia en beneficio propio: imaginemos desde una posible operación de bandera falsa en medios de comunicación (o no) hasta una intervención de elecciones en algún país (siempre hipotéticamente, por supuesto) que debilite un poco a la OTAN. O recordemos a The Dukes y algunos de sus objetivos, Ministerios de Asuntos Exteriores de países de Europa del Este, o a APT29 y su interés en la política europea y estadounidense. Profundizaremos, en el próximo post de la serie, en los países en los que Rusia puede tener un mayor interés.

En resumen, dos grandes objetivos y por tanto dos grandes familias de necesidades de información: por un lado la protección de Rusia desde una perspectiva de defensa de la nación (militar, política, diplomática…) y por otro la protección económica de Rusia (ecología, economía, tecnología…), estando ambos frentes relacionados en muchos casos. La Madre Rusia debe seguir siendo una potencia mundial en todos los sentidos, algo por supuesto completamente legítimo y habitual para unos servicios de inteligencia.

Referencias
[1] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[2] Keir Giles. Russia’s National Security Strategy to 2020. NATO Defense College Research Division. Junio, 2009.
[3] President of the Russian Federation. On Foreign Intelligence. Russian Federation Federal Law no. 5. Enero, 1996.
[4] General Intelligence and Security Service. Annual Report 2014. AIVD. Abril, 2015.
[5] Mark Galeotti. Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations. Mayo, 2016.
[6] Jared S. Easton. The Industrial Spy Game: FSB as Russian Economic Developer. Modern Diplomacy. Agosto, 2015.
[7] Fredrik Westerlund. Russian Intelligence Gathering for Domestic R&D – Short Cut or Dead End for Modernisation? Swedish Defence Research Agency (FOI). Abril, 2010.
[8] FireEye. APT28: at the center of the storm. FireEye. Enero, 2017.

Rompiendo verificaciones de clave con Theorem Provers

6 de junio de 2017 Por

TIPOS DE CLAVE DE PRODUCTO

A la hora de comprobar la legitimidad de la compra de un software, uno de los métodos más extendidos es la del uso de una clave de compra que se entrega al usuario cuando se compra el acceso al servicio o software. Estas claves deben ser comprobadas en algún punto de la ejecución y utilizar técnicas de ofuscación para que la generación de “keygens” no sea trivial.

Sin embargo, ¿cómo se comprueban estas claves? Aquí podemos encontrarnos con algunas de las siguientes situaciones: [Read more…]

Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

1 de junio de 2017 Por

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

Privacidad electrónica, el nuevo reglamento europeo

30 de mayo de 2017 Por

Ya queda menos para  asistir a la transformación de dos grandes regulaciones que nos han estado ayudando a proteger importantes derechos y libertades fundamentales, como el derecho a la intimidad y al honor, y también el derecho a no ser atropellados publicitariamente y a la autodeterminación informativa.

Me refiero lógicamente a la LOPD (Ley Orgánica 15/1999 de Protección de datos)  y a la LSSI-CE (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Ambas se transformarán para dar paso a sus dos homólogas europeas: el Reglamento General de Protección de Datos del que ya he hablado aquí en numerosas ocasiones y el Reglamento de Privacidad y Comunicaciones Electrónicas (que abreviaremos como RPCE).

Hoy le voy a dedicar a unas líneas a este último y a intentar resumir alguno de sus principios  a modo de guía para contemplar finalmente alternativas de adecuación.

[Read more…]

Estrategia de Continuidad de Negocio – II

26 de mayo de 2017 Por

La semana pasada hacíamos algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio, y como ejemplo, nos planteábamos qué estrategias utilizar en el caso hipotético de que nuestra oficina en Madrid no estuviese disponible y tuviésemos que recuperar el proceso en 24h.

Aquí toca empezar a ser creativo y formular posibles alternativas. Formulemos algunas posibilidades:

  • Mandar en AVE a la gente de Madrid a mi otra oficina en Barcelona (bueno, a lo mejor alguno se niega o no puede, y no está claro cuántos días podría tener a la gente desplazada).
  • Que trabajen desde su casa (parece sencillo, pero ¿cómo desvío las llamadas a la casa de cada uno? ¿Tienen acceso internet? ¿Tienen en sus casas un sitio desde el que trabajar?).
  • Disponer de puestos de trabajo de contingencia en una empresa especializada (Tengo que decidir si los puestos de trabajo me los reservo en exclusiva para mí, o son en modo compartido más barato pero que no garantiza que otro cliente que también haya contratado los mismos puestos no los esté usando).
  • Si no se pudiese volver al edificio nunca, alquilar otro (ya, pero podría tardar semanas o meses en acondicionarlo)
  • Formar a parte del personal de Barcelona para que puedan atender ellos el servicio (todo el mundo anda muy atareado y la formación puede requerir no menos de 2 semanas).

Como se puede ver, para cada alternativa surgen dudas, cuestiones que habría que resolver para que la estrategia fuera operativa, plazos, costes, algunas son más viables que otras. No suele haber una alternativa claramente ganadora: cada una con sus pros y sus contras; algunas alternativas pueden ser válidas a corto plazo, para salir de atolladero mientras voy implantando soluciones a corto y medio plazo, etc.

En su momento llegué a la conclusión de que había que estructurar de alguna forma la información sobre cada estrategia de manera que fuera sencillo consultar los datos de cada una y se facilitase el escoger la más apropiada.

Mi solución fue escribir las estrategias conforme el modelo de la tabla siguiente:

En un caso real, habría que repetir esta tabla unas cuantas veces, ya que se deben identificar y analizar todas las estrategias mínimamente viables para cada posible escenario (uno de los cuatro mencionados antes) y para cada proceso afectado. El resultado, aunque pueda resultar algo voluminoso, no sólo recogerá cuál es la solución finalmente adoptada, sino también cuáles eran las otras alternativas analizadas y las razones por las cuales fueron descartadas.

Volviendo al inicio de este post, ahora SÍ tengo un guion para mi plan, ya sé qué actividades tengo que recoger en el mismo, que son aquéllas requeridas para poner en la práctica la estrategia que se eligió.

En el ejemplo que estamos manejando, y suponiendo que la estrategia es contratar 15 puestos de trabajo permanentes al proveedor Imperus, las tareas a plasmar en el plan podrían ser:

  • Contactar con las 15 personas que formarán el equipo de contingencia del proceso, y hacerles llegar la dirección de la oficina de contingencia.
  • Avisar al contacto de Imperus indicándole que se van activar los 15 puestos.
  • Contactar con la compañía de teléfonos para que reenvíen las llamadas a la oficina de Imperus.
  • Enviar ya un técnico TIC a Imperus para que verifique que los puestos están operativos
  • Si las oficinas principales no van a estar operativas en menos de 5 días (o nunca), solicitar a Imperus que nos provea en menos de una semana de locales para albergar al total del personal

El lector puede que se plantee que aún falta algo, alguna acción, entre definir la estrategia y disponer de un plan realmente operativo.

En nuestro ejemplo, hemos decidido contratar a Imperus unos puestos de contingencia, desviar llamadas de un sitio a otro. Son actividades que no se pueden tomar sobre la marcha, una vez se ha producido el incidente, sino que es algo que se ha tenido que negociar con los proveedores apropiados.

Pues bien, las tareas derivadas de las estrategias elegidas deben plasmarse en un Plan de Acción, cuya ejecución, al igual que la redacción de los planes de contingencia, forma parte de la Fase “Implantación” del ciclo de vida BCM.

Por concluir, la Fase “Definir la Estrategia” está íntimamente relacionada con los resultados del BIA, del Análisis de Riesgos y de los parámetros RTO/RPO (Fase “Entender la organización”) y la estrategia o estrategias que se decidan influirán de forma decisiva en los contenidos de los planes y en las acciones de mejora y las contrataciones que se lleven a cabo en la Fase “Implantación”.

EternalBlue vía IoT (PoC)

25 de mayo de 2017 Por

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Oleada de ataques con keyloggers –> keybase & Hawkeye

24 de mayo de 2017 Por

La semana pasada fuimos testigos de una oleada de documentos office con macros maliciosas y que revisaremos en esta entrada. Los hashes de los documentos son:

Si ejecutamos 1) se produce el siguiente comportamiento en el sistema (pinchar en las imágenes para ver la versión ampliada – se abren en una pestaña nueva):

[Read more…]

Estrategia de Continuidad de Negocio – I

18 de mayo de 2017 Por

En este artículo se hacen algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio.

Es más que habitual que los clientes, y no pocos consultores, a la hora de mejorar la resiliencia de las organizaciones, propongan un “Plan de Continuidad de Negocio”. En realidad, se debería hablar de implantar una “Gestión de la Continuidad de Negocio”, ya que de lo que se trata es de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas. De aquí en adelante usaremos las siglas BCM para referirnos a dicha Gestión.

Sí, hay que reconocer que uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC. No obstante, dichos planes no son, por supuesto, los únicos “outputs” del BCM, aunque sí es cierto que son los más visibles y, por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización (el clásico de poner la marca de “cumple” en la casilla de verificación).

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

17 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

[Read more…]