INFORME ESPECIAL

INFORME DE INTELIGENCIA SOBRE SEGURIDAD CIBERNTICA DE LEVEL 3

www.level3.com

INFORME ESPECIAL

Resumen Ejecutivo
Se requiere de una gran inteligencia para ganar las guerras, inclusive las ciberguerras. La visibilidad de la actividad global de red de Level 3, desde la tierra a la Nube, nos permite compilar la ciberinteligencia necesaria para ayudarlo a proteger su red y su negocio. Y por qu es importante? La respuesta tiene varias aristas: con tantos procesos de negocio que dependen plenamente de las redes; la productividad y el comercio virtualmente dejan de operar cuando son ineficientes o se encuentran interrumpidos. La comoditizacin crea, en la mayora de los mercados verticales, un entorno donde la lealtad a la marca se construye sobre la base de la reputacin. Cuando sus clientes no pueden confiarle sus datos o su dinero, o cuando sus productos y servicios no estn disponibles cuando ellos los necesitan, solo es cuestin de hacer clic una o dos veces con el mouse para que se contacten con sus competidores. La Ciberseguridad est evolucionando rpidamente hacia una tecnologa compleja que requiere de recursos dedicados con habilidades altamente especializadas. La mayora de las organizaciones (ya sean empresas privadas o entidades pblicas como los organismos gubernamentales) carecen del volumen de recursos necesarios, y dichos recursos no pueden desviarse de las responsabilidades centrales para focalizarlos en la seguridad o para mantenerse actualizado con las ms recientes estrategias de ataque y medidas para contrarrestarlas. En el presente informe, hemos identificado las amenazas de red ms activas que hemos visto en una snapshot de tiempo, extradas de los datos que hemos correlacionado mientras monitoreamos las redes que tanto nosotros como nuestros clientes utilizamos diariamente. Lo ayudaremos a entender ms cabalmente su rol en el ecosistema de la Ciberseguridad y cmo, trabajando juntos, podremos aprovechar ese mayor conocimiento sobre las amenazas para identificar dichas amenazas como as tambin a los servicios de seguridad necesarios para defendernos de los ataques potencialmente devastadores, cada vez ms frecuentes. Asimismo distinguiremos las amenazas de red de los tipos de ataques que ocurren en su parte del ecosistema de Ciberseguridad, como as tambin aquellos encontrados en sistemas externos, que son responsabilidad de sus socios. Finalmente, le ofreceremos sugerencias para abordar sus necesidades de seguridad ahora y a futuro, al contratar un proveedor de servicios de red (NSP por su sigla en ingls-) que tambin le ofrezca un abordaje consolidado a la seguridad de red.

Introduccin
Es muy posible que Internet sea la ltima gran frontera. Una vasta extensin de oportunidades prometedoras para el crecimiento comercial y la comunicacin global. Asimismo presenta en este momento un paisaje ciberntico donde los criminales pueden operar casi con absoluta impunidad. En esta frontera la velocidad del desarrollo tecnolgico ha sobrepasado ampliamente la rapidez con la que pueden sancionarse leyes de cumplimiento efectivo. Sin embargo, lo distintivo de esta frontera en particular es que la actividad de la red se puede monitorear y analizar de manera integral, y pueden tomarse acciones basndonos en las observaciones realizadas, para mejorar la seguridad de su red y de sus aplicaciones. Los Proveedores de Servicio de Internet (ISP -por su sigla en ingls-) y las organizaciones que utilizan Internet y confan en los proveedores de red para mantener el flujo de sus comunicaciones, deben trabajar de manera conjunta en un ecosistema de Ciberseguridad para protegerse de los ataques.

www.level3.com

Los elementos del ecosistema de Ciberseguridad son:

INFORME ESPECIAL

Su oficina, donde se crean los datos Las redes, tanto pblicas como privadas, que transportan la informacin Sistemas externos, incluidos los firewalls, los servidores y dems dispositivos donde se almacenan y manipulan las aplicaciones, la informacin y los activos.

Adems de la visibilidad de red, una de las mayores armas defensivas con las que cuenta el ecosistema de Ciberseguridad es la inteligencia. An cuando los tipos y las estrategias de ataque estn evolucionando continuamente, la posicin de un ISP en las primeras filas de la ciberguerra posibilita compilar datos de red en tiempo real: la inteligencia que en definitiva puede utilizarse para detener los ataques, mitigar el dao inmediato y las actualizaciones directas para los esquemas de gestin de amenazas.

El ecosistema de Ciberseguridad y las amenazas a cada elemento

Cada miembro del Ecosistema de Ciberseguridad desempea un rol en la seguridad. Los usuarios finales, quienes de un modo u otro crean datos en forma de conocimiento y de activos, son responsables de garantizar que sus computadoras estn libres de malware virus, Troyanos, y dems infecciones que pueden diseminarse de usuario a usuario dentro del firewall de la empresa. Las redes robticas (Botnets) estn incluidas en el ecosistema del usuario final y constituyen una amenaza importante para identificar y eliminar, pues posibilitan que los hackers tengan el mando y el control (C2) y el arma principal en los ataques de denegacin distribuida de servicio (DDoS). Dichos ataques estn aumentando en cuanto a su frecuencia y foco. Por ejemplo, en 2012 el nmero total de ataques de DDoS se increment en un 50 por ciento, y los ataques de DDoS contra empresas del sector financiero prcticamente se triplicaron en el primer trimestre de 2012, comparados con el primer trimestre de 2011.1 Estas estadsticas son reveladoras pero probablemente no sean exhaustivas. A menudo las Organizaciones sufren en silencio toda vez que dar a conocer que su sitio web o su base de datos se ha visto comprometida podra socavar la confianza sobre la que se basa la relacin con sus clientes. Cuando se rompe dicha confianza, sucede lo mismo con el negocio. Los sistemas externos de su socio se encuentran en el otro extremo del ecosistema de Ciberseguridad, en la Nube. Mientras que a la Nube se la est presentando como a una especie de nirvana de la computacin donde los procesos de negocio reflejan los ideales de la eficiencia y de la economa, los hackers saben que tambin es otro lugar donde el malware puede explotar las vulnerabilidades a nivel del servidor y de la aplicacin. Los expertos en Ciberseguridad han identificado un nuevo tipo de ataque, inspirado en la Nube, denominado economic denial of sustainability (EDoS por su sigla en ingls ataque de denegacin de sustentabilidad econmica). Los ataques EDoS no apuntan a sobrecargar y colapsar un servidor del modo en que lo hara un tpico ataque DDoS. En cambio el objetivo de un ataque EDoS consiste en utilizar los recursos de la Nube de manera tal de causar que los costos de alojamiento del servidor sobrecarguen el presupuesto de la victima 2. Las aplicaciones de empresa basadas en la Nube, particularmente aqullas diseadas para dar soporte a la movilidad, brindan otro camino para el robo de datos (phishing) y para la inyeccin de malware. Segn un artculo de CSO online de agosto de 2012, las aplicaciones mviles han emergido como un nuevo vector de ataque por parte de los cibercriminales para perpetrar phishing y malware 3. Level 3, en su carcter de proveedor central de servicios de red y de ISP, tiene visibilidad desde el extremo de su parte del ecosistema hasta el extremo de los ecosistemas de sus socios. Nuestra visibilidad abarca la red desde la tierra hasta la Nube. Nuestras principales operaciones de negocio incluyen monitoreo permanente, en tiempo real del trfico global de Internet, correlacin e informes de eventos y foco en anlisis de red especficos en seguridad, a travs de nuestros Centros de Operaciones de Seguridad (SOC).

www.level3.com

INFORME ESPECIAL

Como ya mencionramos, cada uno de nosotros juega un rol especfico en el ecosistema de la Ciberseguridad; Level 3 posee una ventaja sin igual para visualizar el trfico global de Internet, cuenta con gente que ha sido capacitada en plataformas de seguridad y con aos de datos histricos que pueden aprovecharse para determinar buenos picos de trfico (como sucede con el lanzamiento de un nuevo juego para mltiples jugadores o cuando un desastre natural obliga a las personas a procurar informacin del sitio de un organismo de gobierno) de actividad de malware, por ejemplo un ataque de DDoS diseado con el objetivo de expoliar dinero, lanzar spam o el ataque EDoS antes mencionado. Otros tipos de ataques que los proveedores de red presencian regularmente incluyen ataques de envenenamiento de Servidores de Nombre de Dominio (DNS) o ataques de amplificaciones, spoofing, spear phishing, port listening y otros tipos de ataques botnet (de redes robticas), tales como inyeccin de SQL. En el ncleo de estos ataques se encuentran los bots C2 que han establecido una red robtica con sus conspiradores y desarrollador, y que ya estn funcionando o esperando para el da cero para empezar a trabajar.

Ciberseguridad de Red: focalizada en las botnets

En su Informe de Amenazas del segundo trimestre de 2012, McAfee public que determinar el origen y la atribucin es un negocio complejo.4 No podramos coincidir ms con este informe, y al mismo tiempo tambin sabemos a travs de nuestra propia experiencia que la actividad de las redes robticas (botnets) puede identificarse en la red, y que las vctimas incautas a ambos lados de la red pueden beneficiarse de la inteligencia que esta visibilidad posibilita. Level 3 monitorea la actividad de 3.000 fuentes C2. La Figura 1 muestra la cantidad de actividad C2 basada en la direccin IP (hemos omitido las direcciones IP para proteger la confidencialidad de las mismas) para los 25 nodos principales de C2 que vimos en Septiembre de 2012. Vemos la actividad de C2 y de botnet adjunta a las direcciones IP especficas. Al correlacionar la actividad actual de red en una direccin IP contra los datos de actividad histrica para dicha direccin IP, podemos concluir razonablemente si esa actividad es maliciosa. Ms all de eso, Level 3 puede identificar el origen y el destino de las actividades botnet, lo que nos permite alertar a nuestros clientes cuando advertimos que forman parte de una botnet. Muchas C2 operan ms de una botnet, como podrn advertir del cuadro de la Figura 2. Una vez ms las cinco C2 ms activas constituyen cerca del 50 por ciento del trfico general que vimos ese mes. De qu manera pueden sernos de utilidad estos datos? La capacidad para identificar la actividad C2 en una sola direccin IP permite que las vctimas del/los ataque(s) bloqueen esa direccin; y que el ISP ponga fin a las comunicaciones con la misma. Lamentablemente, dicha medida reviste poco valor como solucin a largo plazo; pues los hackers sencillamente establecen otra direccin IP y vuelven a la carga como de costumbre. Actividad C2 por Direccin IP

Figura 1. Actividad C2 por IP en Septiembre de 2012. De las 3.000 fuentes C2 que Level 3 monitorea, las primeras cinco direcciones ms activas representan el 45% de la actividad.

Actividad Botnet por Direccin IP

Figura 2. Actividad Botnet por IP en Septiembre de 2012. 48% de la actividad Botnet lo generan las 5 fuentes C2 ms activas que Level 3 monitorea.

Esta inteligencia se puede utilizar para ayudar a investigar a los chicos malos. La clave para una solucin a largo plazo consiste en arrestar y encarcelar a los responsables del ataque. Hemos visto ejemplos de este tipo de fallos judiciales recientemente, cuando miembros del grupo de hacking LulzSec fueron detenidos.
www.level3.com

INFORME ESPECIAL

Ciberseguridad de Red: foco en los puertos

Como parte de la investigacin del presente informe, analizamos los vectores de ataque, los puertos, los que adems de habilitar la conectividad de Internet, el intercambio de emails, y la transferencia de datos pueden representar vulnerabilidades. Lo valioso de esta informacin es que si comprendemos hacia dnde apuntan los hackers los ataques a nuestra red, esto nos ayudar a priorizar las actualizaciones de seguridad y focalizar nuestros recursos. La Tabla 1 muestra los puertos TCP ms frecuentemente utilizados por los hackers de actividad C2. La Tabla 2 muestra los puertos ms frecuentemente utilizados por las botnets. Ambas Tablas fueron diseadas a partir de datos compilados por Level 3 durante el mismo perodo que los indicados en los grficos que figuran arriba. Tabla 1. Puertos principales usados para C2 Port # 80 443 2048 25 53 Funcin HTTP: Internet HTTPS: Internet segura NFS: cliente/servidor SMTP: email DNS: nombre de dominio Tabla 2. Puertos principales usados para BotNets Port # 80 53 771 443 520 Funcin HTTP: Internet DNS: servidor de nombre de dominio RTIP: intercambio de datos/servidor HTTPS: Internet segura RIP: router

Dado que el Puerto 80 es el ms utilizado, hecho que a nadie sorprende, queda claro que la actualizacin de los navegadores es una medida de importancia crucial y al mismo tiempo sencilla, que los usuarios finales pueden adoptar para ayudar a asegurar su parte del ecosistema de Ciberseguridad. Los equipos de IT que mantienen sistemas de oficina, y los sistemas externos necesitan asegurarse que los programas antivirus estn actualizados y que los sistemas operativos tambin estn al corriente de los ltimos cambios. La popularidad de utilizar el Puerto 520 como punto de ingreso para asegurarse que los ruteadores estn monitoreados y sean seguros. Su organizacin se encuentra plagada con cuestiones relacionadas con los emails? Tal vez el Puerto 25 no sea lo adecuadamente seguro. El hecho de que el Puerto 443 sea el segundo puerto ms utilizado debera abrirnos los ojos; se supone que sa es la avenida segura hacia Internet!

Conclusin
Internet es una frontera que probablemente pueda ser dominada, pero para que se convierta en un lugar seguro para las comunicaciones y los negocios se requerir de un esfuerzo conjunto. Level 3 posee una ventaja exclusiva, como NSP e ISP principal (Proveedor de Servicios de Red y de Internet), desde donde puede monitorear la actividad de Internet. En dicho carcter, estamos en condiciones de ayudar a nuestros clientes a comprender mejor en qu lugares suceden los ataques y en dnde se originan los mismos. Vemos lo que usted y sus socios no pueden visualizar. De hecho hemos advertido a nuestros clientes la deteccin de que sus redes estaban siendo atacadas, y la reaccin inicial que tuvieron fue sealar que haban invertido grandes sumas de dinero en sistemas de seguridad y que actualmente no vean ningn problema. Luego de una investigacin, se dieron cuenta de que estbamos en lo cierto. Esto es una situacin en la que todos ganan (win-win). Todos los que forman parte del Ecosistema de Ciberseguridad sern atacados, aunque ello no significa que no pueda escaparse de los ataques o que los mismos sean imprevisibles. Cada uno de nosotros desde la persona que efecta compras o transacciones bancarias online, hasta las pequeas, medianas y grandes empresas, hasta los organismos gubernamentales e inclusive pases enteros tiene una participacin para suprimir el ciberdelito.

www.level3.com

INFORME ESPECIAL
Conozca ms
A los fines de tomar las medidas necesarias para una mejor proteccin de sus colaboradores, redes y negocios, visite www.level3.com.
1

Informe de Ataque de Prolexic Q2 2012, Prolexic Protjase de los Nubarrones y de los Ataques de EDoS cuando aloje Servidores en La Nube, Paul Rudo, 07.21.2011 http://xurl.es/58jgj

Las aplicaciones mviles son el nuevo vector de ataque del ciberdelito, Anuradha Shukla, 6 de agosto de 2012, www.csoonline.com/article/713033/mobile-apps-are-new-cyber-crime-attack-vector http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf Hacker de LulzSec arrestado con motivo de su ataque a Sony www.guardian.co.uk/technology/2012/aug/29/lulzsec-hacker-arrest-sony-attack

2013 Level 3. Todos los derechos reservados. Level 3, los parntesis colorados en 3D y el logo de Level 3 son marcas de servicio registradas de Level en los Estados Unidos y/u otros pases. Los servicios de Level 3 son ofrecidos por subsidiarias de propiedad absoluta de Level 3 Communications, Inc. Los dems nombres de servicios, productos o de empresas mencionados en el presente pueden ser marcas registradas o marcas de servicios de sus respectivos propietarios.

www.level3.com