El documento habla sobre la inseguridad de los sistemas de información. Explica que el mercado del ciberdelito es mayor que el de drogas ilegales. También discute cómo los Estados Unidos responderían a ataques cibernéticos de la misma manera que responderían a otros ataques, de acuerdo con su derecho a la autodefensa y la Carta de las Naciones Unidas. Finalmente, propone varias cosas que se pueden hacer para mejorar la seguridad, como realizar diagnósticos, diseñar políticas y hacer pruebas éticas
1. @AEFOL #Expoelearning@AEFOL #Expoelearning
(IN)SECURIDAD DOS SISTEMAS DE
INFORMACIÓN
Paulo de Mendonça Dias
Auditor de defesa nacional
NATO Secreto
EU Secreto
Maestro en Carnegie Mellon University
2 y 3 de marzo 2017
Feria de Madrid
3. @AEFOL #Expoelearning
MOTIVACIÓN
El mercado del ciber crime es mayor
do que el de marihuana, cocaína y
heroína juntos
(113+374) mil millones USD
88% de los Europeos afectados en
2015
4. @AEFOL #Expoelearning
EXAGERO?
Conferencia de prensa
Estrategia de Seguridad Cibernética de
Estados Unidos:
“the chances are that someone
somewhere is attacking you …
and you don’t even know it”
5. @AEFOL #Expoelearning
PRESIDENT
OBAMA AT
INTERNATIONAL
STRATEGY FOR CYBER
SPACE?
"Cuando se siente amenazado, los
EE.UU. van a responder a ataques
en el ciberespacio de la misma
manera que responderían a
cualquier otro tipo de ataque. Todos
los estados tienen el derecho
inherente a la autodefensa ... "
6. @AEFOL #Expoelearning
Carta de la ONU el
artículo 51
“Ninguna disposición de esta Carta
menoscabará el derecho inmanente
de legítima defensa, individual o
colectiva, en caso de ataque armado
contra un Miembro de las Naciones
Unidas, hasta tanto que el Consejo
de Seguridad haya tomado las
medidas necesarias para mantener
la paz y la seguridad
internacionales.”
7. @AEFOL #Expoelearning
US Executive Order
“El presidente Obama emitió una orden ejecutiva el 1 de abril de
2015, declarando que "el aumento de la prevalencia y la
gravedad de las actividades maliciosas cibernéticos habilitado ...
constituyen una amenaza inusual y extraordinaria a la seguridad
nacional, la política exterior y la economía de los Estados
Unidos. Por la presente declaro una emergencia nacional para
hacer frente a esta amenaza. "El Presidente incluye $ 14 mil
millones de dólares
para el gasto en seguridad cibernética en su presupuesto de
2016.
8. @AEFOL #Expoelearning@AEFOL #Expoelearning
» 24 millones de identidades robadas de Zappo
» OSX.Flashback troyano infecta a 600.000 Mac
» Cuentas de LinkedIn expuestas.
» El procesamiento de pagos de la empresa
(incluyendo Visa y MasterCard) atacaron y los
datos expuestos 1,5 millones de usuarios
» Los servidores DNS gestionados por el FBI
después del ataque DNSChanger Trojan, sufren
DoS
» Troyanos que roban información del gobierno
japonés se descubre después de 2 años
» El malware para imágenes virtuales de
Vmware®
» Los ladrones se aprovechan de la
vulnerabilidad conocida fabricante de
cerraduras para hacer asaltos a clientes
de habitaciones
» En Mayo CA Comodo certificado legítimo a
una sociedad ficticia. Descubierto en
agosto
» Samsung versión Android ™ le permite
borrar de forma remota el teléfono
» Reuters ataque resultó en la publicación
de noticias falsas en el sitio web y
Twitter
9. @AEFOL #Expoelearning
ANDROID
Miles de Aplicaciones para Android no
validan correctamente los certificados SLL
para establecer conexiones HTTPS
El uso de CERT Tapioca puede realizar
ataques de “man-in-the-middle”
12. @AEFOL #Expoelearning
COMPLEJIDAD
H. Brückner
8. Reconocimiento
7. DoS
6. Sitio web "defacement"
5. Infección dirigida
4. "Mischief" (travesura,
Infortunio
3. Acceso largo plazo
2. Interconexión de aire
1. Sabotage
The only problem with troubleshooting is that
sometimes trouble shoots back.“
17. @AEFOL #Expoelearning
¿QUÉ PODEMOS HACER
MÁS?
Diagnóstico: El primer paso es
identificar el problema. Analizar
las políticas, el marco
(arquitectura) utilizado y el nivel
de sensibilidad corporativa
Políticas: Diseñamos y ayudar a
implementar políticas corporativas.
Tiene que haber una visión clara de
quién está autorizado para hacer
qué, dónde y cómo
18. @AEFOL #Expoelearning
¿QUÉ PODEMOS HACER
MÁS?
Ethical Hacking No se requieren
conocimientos de los equipos internos,
simular ataques a la estructura corporativa,
para detectar fallas, vulnerabilidades y
errores de procedimiento
Red Team Exercices Con los
equipos internos, simular
ataques y analizar las
respuestas en tiempo real