• Author / Uploaded
• Joel Valdivieso

Citation preview

ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA TELECOMUNICACIONES Y REDES

TAREA DE INVESTIGACION

NOMBRE: CLAUDIO JOEL VALDIVIESO AREVALO CODIGO: 740 FECHA: 12/04/2019 PARALELO: NOVENO “A” ASIGNATURA: SEGURIDAD DE REDES DOCENTE: ING. DIEGO VELOZ

¿QUE SON LOS CERT / CSIRT? Equipos de respuesta a emergencias informáticas (CERT) son los grupos de expertos que se encargan de los incidentes la seguridad informática. Los nombres alternativos para dichos grupos incluyen equipo de preparación para emergencias y el equipo de respuesta a incidentes de seguridad informática (CSIRT). La historia de los CERT está vinculada a la existencia de programas maliciosos, especialmente gusanos y virus. Cada vez que una nueva tecnología llega, su mal uso no tarda en ser el siguiente. El primer gusano en el IBM VNET fue encubierto. Poco después, un gusano golpeó la Internet el 3 de noviembre de 1988, cuando el llamado gusano de Morris paralizó un buen porcentaje de la misma. Esto llevó a la formación del primer equipo de respuesta a emergencias informáticas de la Universidad Carnegie Mellon bajo el Gobierno de los EE. UU (quien contrató). Con el crecimiento masivo en el uso de tecnologías de la información y de las comunicaciones a través de los años siguientes, el término ahora-generic ‘CERT’ / ‘CSIRT’ se refiere a una parte esencial de las estructuras de la mayoría de las grandes organizaciones. Un CSIRT es un equipo de expertos en seguridad de las TI cuya principal tarea es responder a los incidentes de seguridad informática. El CSIRT presta los servicios necesarios para ocuparse de estos incidentes y ayuda a los clientes del grupo al que atienden a recuperarse después de sufrir uno de ellos. Para mitigar los riesgos y minimizar el número de respuestas necesarias, la mayor parte de los CSIRT ofrecen también a sus clientes servicios preventivos y educativos. Publican avisos sobre las vulnerabilidades del software y e l hardware en uso e informan a los usuarios sobre los programas maliciosos y virus que se aprovechan de estas deficiencias. De este modo, los clientes atendidos pueden corregir y actualizar rápidamente sus sistemas. (Gomez, 2014)

Principales CERT/CSIRT en América Norte América En los Estados Unidos, en su mayoría los CSIRTs cooperan con los CERT-CC del CMU, que funciona como el Centro de Coordinación a nivel nacional y es uno de los contactos principales de corporaciones como la Apple Inc. quienes cooperan de manera cercana con organizaciones como El Centro de Coordinación de Equipos de Incidentes Informáticos (Computer Emergency Response Team Coordination Center, CERT/CC) 

CERT Coordination Center, Carnegie Mellon University



US-CERT, United States Department of Homeland Security



UNAM-CERT, Universidad Nacional Autónoma de México



[TIC DEFENSE] http://www.ticdefense.com, TIC DEFENSE S.A. DE C.V.



[MNEMO-CERT] https://cert.mnemo.com, MNEMO Evolution & integration services.

Centro América 

CERT Cyberseg, Guatemala, miembro de FIRST (Forum of Incident Response and Security Teams)

Sur América 

CERT.br, Brazil, miembro de FIRST (Forum of Incident Response and Security Teams)



Ar-CERT, Argentina, también miembro de FIRST.



Venezuela CERT/VENCERT, Venezuela, Sistema Nacional de Gestión de Incidentes Telemáticos de la República Bolivariana de Venezuela.



Colombia CERT/CSIRT Colombia



CSIRT CHILE, Chile



CLCERT, Chile



CSIRT BANELCO, Argentina



CERTuy, Uruguay



colCERT, Colombia



CGII Centro de Gestión de Incidentes Informáticos, Bolivia (Zakon, 2018)

En América Latina, los CSIRT se encuentran en una variedad de instituciones. En Brasil, Panamá y Uruguay, por ejemplo, los equipos están en los órganos ejecutivos bajo la Presidencia. En Colombia y en Perú, los Ministerios de Defensa y de Seguridad manejan la respuesta nacional a incidentes. Sin embargo, en otros países como Paraguay, el CSIRT opera desde el Ministerio de Tecnología. ( Secretaría General de la Organización de los Estados Americanos (OEA), 2016) A continuación, se presentan algunos ejemplos de declaraciones de misión de CSIRT en todo el continente americano.

Ilustración 1. Misión de CSIRT en América Fuente: ( Secretaría General de la Organización de los Estados Americanos (OEA), 2016)

Ilustración 2.CSIRT en la Region Fuente: ( Secretaría General de la Organización de los Estados Americanos (OEA), 2016)

Reportes de los CERT/CSIRT

Ilustración 3. CERTS de América Fuente: (Organization Of Americans States, 2019)

MEXICO Del sitio web MNEMO (Negocio Ciberseguridad Conectividad) de México, se logró obtener reportes mensuales del año 2018, por lo que se tomó en cuenta el mes de diciembre del 2018, siendo este el más actual del sitio:

Ilustración 4. Información general de los servidores C&C en México Fuente: (MNEMO-CERT, 2018)

Descripción:

La actividad de Botnets que se describe está basada en el análisis de los intentos de conexión realizados por bots a servidores de Comando y Control (C&C). Los bots son equipos comprometidos con algún tipo de malware instalado que permite que sean controlados de manera remota a través de los servidores de C&C, los cuales son utilizados por usuarios mal intencionados para enviar instrucciones a los equipos comprometidos. Con este reporte,

MNEMO-CERT aporta elementos para la ejecución de acciones concretas en beneficio de la ciberseguridad, presentando un resumen del análisis de sus fuentes de información. Los datos detallados se encuentran disponibles para los suscriptores de nuestros servicios. En la siguiente tabla, se presentan las direcciones IP de los 50 servidores de C&C con mayor actividad en el mes de diciembre, el número de eventos en el que estuvieron implicados, puerto de comunicación del C&C y su ubicación a nivel país. (MNEMO-CERT, 2018) En este periodo de mes, se han identificado 41 puertos de comunicación únicos empleados por los servidores C&C, resaltando el puerto TCP 80 con una actividad del 61%. A continuación, se muestra el top 10 de los puertos de comunicación

utilizados

con

mayor

frecuencia en este periodo. (MNEMOCERT, 2018)

Ilustración 5. Top 50 de direcciones IP empleadas como C&C.

Ilustración 6. Top 10 de los puertos más utilizados por los servidores C&C Fuente: (MNEMO-CERT, 2018)

Fuente: (MNEMO-CERT, 2018)

BRASIL Del sitio cert.br se logro obtener incidentes anuales en una grafica general desde el año 1999 al 2018, la cual se describe a continuación:

Ilustración 7. Estadísticas de incidentes en Brasil Fuente: (CERT.br, 2018)

ARGENTINA Del sitio web Vamos Buenos Aires (BACSIRT) se logro obtener Alertas de seguridad actuales del 2019 en diferentes fechas, por lo que se determinó capturar la siguiente información descrita a continuación:

Ilustración 8. Alertas de Seguridad en Argentina Fuente: (BACSIRT, 2019)

COLOMBIA Del sitio web CSIRT - PONAL se logró encontrar boletines hasta el año 2018 en diferentes fechas, de los cuales, se muestra a continuación el más actual, perteneciente a diciembre de 2018 disponible:

Ilustración 9. Boletines disponibles de Colombia Fuente: (CSIRT-PONAL, 2018)

Ilustración 10. Descarga del Archivo PDF del Último Boletín Disponible Fuente: (CSIRT-PONAL, 2018)

ECUADOR Del sitio web EcuCERT (centro de respuesta a incidentes informáticos del Ecuador) se logró encontrar solamente Vulnerabilidades Reportadas por el sitio, sin especificación de año o fechas, como se describen a continuación:

Ilustración 11. Vulnerabilidades reportadas por EcuCERT Fuente: (EcuCERT, 2017)

A continuación, se muestra una captura del archivo Accesible-RDP, que se descargó:

:

Ilustración 12. Información de los campos del Reporte Fuente: (EcuCERT, 2017)

ESTADOS UNIDOS Del sitio web CISA (Cyber+Infrastructure) se logró obtener un listado de las alertas del 2018 y d las que van del 2019, descritas a continuación:

Ilustración 13. Alertas del 2018 by CISA Fuente: (CISA CYBER-INFRASTRUCTURE, 2019)

Ilustración 14. Alertas de lo que va del 2019 by CISA Fuente: (CISA CYBER-INFRAESTRUCTURE, 2018)

Referencias: Secretaría General de la Organización de los Estados Americanos (OEA). (Abril de 2016). Marco institucional . Obtenido de Buenas prácticas para establecer un CSIRT Nacional: https://www.sites.oas.org/cyber/Documents/2016%20%20Buenas%20Practicas%20CSIRT.pdf BACSIRT. (13 de Febrero de 2019). Alertas de Ciberseguridad. Obtenido de Alertas de Seguridad:

https://www.ba-csirt.gob.ar/index.php?u=alertas-

ciberseguridad&page=6#content CERT.br. (diciembre de 2018). Total de Incidentes Reportados ao CERT.br por Ano. Obtenido de

Estatísticas

dos

Incidentes

Reportados

ao

CERT.br:

https://www.cert.br/stats/incidentes/ CISA CYBER-INFRAESTRUCTURE. (2018). Alertas 2018. Obtenido de Sitio web oficial del Departamento de Seguridad Nacional: https://www.us-cert.gov/ncas/alerts/2018 CISA CYBER-INFRASTRUCTURE. (2019). Alertas 2019. Obtenido de Sitio web oficial del Departamento de Seguridad Nacional: https://www.us-cert.gov/ncas/alerts/2019 CSIRT-PONAL. (2018). Boletines_2018. Obtenido de Documentos CC-CSIRT: https://cccsirt.policia.gov.co/Documentos/boletines_de_seguridad/Boletines_2018 EcuCERT. (2017). Accessible RDP Services (Remote Desktop Protocol,RDP). Obtenido de VULNERABILIDAD

ACCESSIBLE

https://www.ecucert.gob.ec/assets/accessible-rdp.pdf

RDP

SERVICES:

EcuCERT. (2017). Vulnerabilidades reportadas por EcuCERT. Obtenido de Centro de respuesta

a

incidentes

informaticos

del

Ecuador:

https://www.ecucert.gob.ec/vulnerabilidades.html Gomez, M. (10 de julio de 2014). (CERT-CSIRT -CIRT). Obtenido de Auditoria Informática 2014-1: https://chaui201411700921759.wordpress.com/2014/07/10/cert-csirt-cirt/ MNEMO-CERT. (Diciembre de 2018). Reporte de Actividad de Botnets en Mexico . Obtenido de https://cert.mnemo.com/reports/5fiM7jwB/0Pwy1gRnvC4a.pdf Organization Of Americans States. (2019). Organization Of Americans States. Obtenido de Organization

Of

Americans

States:

https://www.sites.oas.org/cyber/es/paginas/directory/default.aspx Zakon, R. H. (1 de diciembre de 2018). Organizaciones CSIRT. Obtenido de Equipo de Respuesta

ante

Emergencias

Informáticas:

https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Inform%C3% A1ticas