Seguridad & Telecomunicaciones

Granada Granada Granada Granada - -- - 24 de Marzo 2012 24 de Marzo 2012 24 de Marzo 2012 24 de Marzo 2012
ndice ndice ndice ndice
La Operadora: Red, Sistemas y Servicios
Las grandes amenazas
Amenazas de pequea escala
01
02
03
1
Legislacin vigente
Organizacin y Procesos de Telefnica
Localizacin e Intercepcin Legal
03
04
05
06
01
La Operadora: Red, Sistemas y
Servicios
2
En 1876 Alexander G. Bell En 1876 Alexander G. Bell En 1876 Alexander G. Bell En 1876 Alexander G. Bell
presenta la patente del presenta la patente del presenta la patente del presenta la patente del
tel tel tel telfono fono fono fono
El comienzo El comienzo El comienzo El comienzo
3
tel tel tel telfono fono fono fono
El CORE de una Operadora El CORE de una Operadora El CORE de una Operadora El CORE de una Operadora
Los Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas permiten la gestin de la Red y los
Servicios as como la relacin con los clientes
4
La Red Red Red Red Red Red Red Red proporciona la base del negocio de la
Operadora. Medio por el que fluye la
comunicacin
Los Servicios Servicios Servicios Servicios Servicios Servicios Servicios Servicios aprovechan la potencia de la Red y los
Sistemas para construir posibilidades de
negocio
La Red: Conceptos de identidad en la Red Mvil La Red: Conceptos de identidad en la Red Mvil La Red: Conceptos de identidad en la Red Mvil La Red: Conceptos de identidad en la Red Mvil
IMSI: International Mobile Subscriber Identity
Identifica de forma nica al usuario (DNI de la USIM)
Es asociado a la USIM en la que se almacena
5
IMEI: International Mobile Station Equipment Identity
Se identifica al terminal de forma nica (DNI del Terminal)
Se compone de:
MSISDN: Mobile Subscriber ISDN Number
Nmero de telfono en la Red Mvil (DNI del cliente en la Operadora)
Se asociado al par USIM-IMSI
TAC FAC S/N
telfono
V
F
6 dgitos 6 dgitos 3 dgitos 1 d
TAC: Type Allocation Code
FAC: Final Assembly Code
VF: Verificador
La Red: Caractersticas de la seguridad del acceso a la Red Mvil La Red: Caractersticas de la seguridad del acceso a la Red Mvil La Red: Caractersticas de la seguridad del acceso a la Red Mvil La Red: Caractersticas de la seguridad del acceso a la Red Mvil
Autenticacin Autenticacin Autenticacin Autenticacin: :: : Identificacin y reconocimiento entre el terminal y la red:
Desde Desde Desde Desde Desde Desde Desde Desde la la la la la la la la Red Red Red Red Red Red Red Red al al al al al al al al terminal terminal terminal terminal terminal terminal terminal terminal
Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo (desde la red al terminal y desde el terminal a la red)
Empleo de algoritmo AKA (A AA AA AA Authentication and K KK KK KK Key A AA AA AA Agreement)

Proteccin Proteccin Proteccin Proteccin de de de de datos datos datos datos: :: :

Utilizacin de identidades temporales:
IMSI TMSI (voz) y P-TMSI (datos)
Encriptacin/cifrado en el acceso radio (GSM/UMTS).
Integridad dentro de la red de acceso (slo UMTS).
El proceso consiste en:
Comprobacin terminal: Peticin de la red al mvil
Comprobacin red: Contestacin del mvil a la red
Por parte de la red:
Los valores son generados por el nodo AuC
El HLR almacena los valores (UMTS -> quintetas, GSM -> tripletas)
Proceso de Autenticacin Proceso de Autenticacin Proceso de Autenticacin Proceso de Autenticacin
7
El HLR almacena los valores (UMTS -> quintetas, GSM -> tripletas)
La MSC solicita los valores al HLR y se almacenan en el VLR
En GSM se permite la reutilizacin de tripletas tanto en MSC como HLR. En UMTS no se pueden reutilizar.
Por parte del terminal:
Genera los valores por si mismo
Los datos para el clculo los toma de la SIM
El equipo AuC genera un vectores de autenticacin con tres campos (tripleta).
Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM
RAND: Nmero aleatorio para realizar la pregunta
XRES: Respuesta esperada
CK: Clave cifrado
8
Primero el nodo de red (MSC MSC MSC MSC MSC MSC MSC MSC o oo oo oo o SGSN SGSN SGSN SGSN SGSN SGSN SGSN SGSN) se encarga de solicitar solicitar solicitar solicitar solicitar solicitar solicitar solicitar los datos al nodo de autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin
Una vez el nodo ha enviado la peticin de acceso a la red, el VLR VLR VLR VLR VLR VLR VLR VLR, se encarga de solicitar solicitar solicitar solicitar solicitar solicitar solicitar solicitar un vector vector vector vector vector vector vector vector de inicializacin al HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC (que dispone junto
a la USIM de la clave del usuario).
El HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC se encarga de calcular calcular calcular calcular calcular calcular calcular calcular los valores basados en la clave nica de usuario (tripleta tripleta tripleta tripleta tripleta tripleta tripleta tripleta)
Una vez terminado el clculo, MSC MSC MSC MSC MSC MSC MSC MSC o oo oo oo o SGSN SGSN SGSN SGSN SGSN SGSN SGSN SGSN responde responde responde responde responde responde responde responde al nodo VLR VLR VLR VLR VLR VLR VLR VLR con la tripleta tripleta tripleta tripleta tripleta tripleta tripleta tripleta.
El VLR VLR VLR VLR VLR VLR VLR VLR enva enva enva enva enva enva enva enva al terminal terminal terminal terminal terminal terminal terminal terminal nicamente el campo RAND RAND RAND RAND RAND RAND RAND RAND. .. .. .. .
La USIM genera la XMAC, RES, CK e IK con los valores RAND, AUTN y K.
Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM Autenticacin. Algoritmo AKA para GSM
9
El terminal terminal terminal terminal terminal terminal terminal terminal mvil procesa procesa procesa procesa procesa procesa procesa procesa el dato dato dato dato dato dato dato dato recibido (RAND RAND RAND RAND RAND RAND RAND RAND) con la ayuda de su clave nica y secreta (contenida nicamente en la USIM y en el nodo
HLR/AUC).
El terminal terminal terminal terminal terminal terminal terminal terminal genera genera genera genera genera genera genera genera la respuesta esperada al reto enviado por la MSC/ SGSN (RES RES RES RES RES RES RES RES).
El terminal terminal terminal terminal terminal terminal terminal terminal de usuario responde responde responde responde responde responde responde responde con el campo RES RES RES RES RES RES RES RES al MSC/SGSN.
MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN de red verifica verifica verifica verifica verifica verifica verifica verifica que la respuesta (campo RES RES RES RES RES RES RES RES enviado desde el mvil) es correcta comparndola comparndola comparndola comparndola comparndola comparndola comparndola comparndola con la respuesta esperada (XRES XRES XRES XRES XRES XRES XRES XRES) de la
tripleta.
Si est OK, enviar el CK a la BSC para codificar la comunicacin.
El equipo AuC genera un vectores de autenticacin con cinco campos (quinteta).
Primero el nodo de red (MSC MSC MSC MSC MSC MSC MSC MSC o oo oo oo o SGSN SGSN SGSN SGSN SGSN SGSN SGSN SGSN) se encarga de solicitar solicitar solicitar solicitar solicitar solicitar solicitar solicitar los datos al nodo de autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin
Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS
RAND: Nmeo aleatorio para realizar la pregunta
XRES: Respuesta esperada
CK: Clave cifrado
IK: Clave integridad
AUTN: Token identificacin
SQN: Nmero de secuencia
AMF: Campo gestin autenticacin
MAC-A: Cdigo autenticacin mensaje
10
Primero el nodo de red (MSC MSC MSC MSC MSC MSC MSC MSC o oo oo oo o SGSN SGSN SGSN SGSN SGSN SGSN SGSN SGSN) se encarga de solicitar solicitar solicitar solicitar solicitar solicitar solicitar solicitar los datos al nodo de autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin
Una vez el nodo ha enviado la peticin de acceso a la red, el VLR VLR VLR VLR VLR VLR VLR VLR, se encarga de solicitar solicitar solicitar solicitar solicitar solicitar solicitar solicitar un vector vector vector vector vector vector vector vector de inicializacin al HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC (que dispone junto
a la USIM de la clave del usuario).
El HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC HLR/AuC se encarga de calcular calcular calcular calcular calcular calcular calcular calcular los valores basados en la clave nica de usuario (quinteto quinteto quinteto quinteto quinteto quinteto quinteto quinteto)
Una vez terminado el clculo, MSC MSC MSC MSC MSC MSC MSC MSC o oo oo oo o SGSN SGSN SGSN SGSN SGSN SGSN SGSN SGSN responde responde responde responde responde responde responde responde al nodo VLR VLR VLR VLR VLR VLR VLR VLR con el vector vector vector vector vector vector vector vector de inicializacin (AV(1),..., AV(n)) correspondiente.
El VLR VLR VLR VLR VLR VLR VLR VLR se encarga de elegir un vector de inicializacin (uno de los recibidos anteriormente), y enva enva enva enva enva enva enva enva al terminal terminal terminal terminal terminal terminal terminal terminal nicamente el campo RAND RAND RAND RAND RAND RAND RAND RAND y yy yy yy y
AUTN AUTN AUTN AUTN AUTN AUTN AUTN AUTN.
MAC-A: Cdigo autenticacin mensaje
La USIM genera la XMAC, RES, CK e IK con los valores RAND, AUTN y K.
Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS
AUTN se compone de:
SQN: Nmero de secuencia
AMF: Campo gestin autenticacin
MAC-A: Cdigo autenticacin mensaje
11
El terminal terminal terminal terminal terminal terminal terminal terminal mvil procesa procesa procesa procesa procesa procesa procesa procesa los datos datos datos datos datos datos datos datos recibidos (RAND RAND RAND RAND RAND RAND RAND RAND y yy yy yy y AUTN AUTN AUTN AUTN AUTN AUTN AUTN AUTN) con la ayuda de su clave nica y secreta (contenida nicamente en la USIM y en el
nodo HLR/AUC).
El terminal terminal terminal terminal terminal terminal terminal terminal se encarga de validar validar validar validar validar validar validar validar que el vector vector vector vector vector vector vector vector utilizado (AV(i)) no ha expirado en el tiempo verificando verificando verificando verificando verificando verificando verificando verificando el nmero de secuencia (campo SEQ SEQ SEQ SEQ SEQ SEQ SEQ SEQ).
El terminal terminal terminal terminal terminal terminal terminal terminal genera genera genera genera genera genera genera genera la clave de cifrado (CK CK CK CK CK CK CK CK), la clave de integridad (IK IK IK IK IK IK IK IK) y la respuesta esperada al reto enviado por la MSC/ SGSN (RES RES RES RES RES RES RES RES).
El terminal terminal terminal terminal terminal terminal terminal terminal de usuario responde responde responde responde responde responde responde responde con el campo RES RES RES RES RES RES RES RES al MSC/SGSN.
MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN MSC/SGSN de red verifica verifica verifica verifica verifica verifica verifica verifica que la respuesta (campo RES RES RES RES RES RES RES RES enviado desde el mvil) es correcta comparndola comparndola comparndola comparndola comparndola comparndola comparndola comparndola con la respuesta esperada (XRES XRES XRES XRES XRES XRES XRES XRES).
Una vez terminado el proceso la autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin mutua mutua mutua mutua mutua mutua mutua mutua es efectuada: El terminal a travs de la USIM y el nodo de red
Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS Autenticacin. Algoritmo AKA para UMTS
12
Una vez terminado el proceso la autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin autenticacin mutua mutua mutua mutua mutua mutua mutua mutua es efectuada: El terminal a travs de la USIM y el nodo de red
(VLR) se han autenticado mutuamente bajo dos condiciones:
La USIM ha verificado que el campo MAC en el AUTN es igual al calculado internamente utilizando la clave privada K.
El nodo de red VLR ha verificado al terminal (USIM) ya que el campo de respuesta RES es igual al campo esperado XRES.
Se sustituye la identificacin nica del usuario, el IMSI, por una identificacin temporal.
Las identidades temporales estn asociadas a cada elemento de red (MSC/SGSN).
Al cambiar de nodo de red se cambia de identidad.
Los terminales pueden tener identidades temporales iguales en distintos elementos de red.
Proteccin de Datos: Proteccin de Datos: Proteccin de Datos: Proteccin de Datos:
Identidades Temporales Identidades Temporales Identidades Temporales Identidades Temporales
13
Los terminales pueden tener identidades temporales iguales en distintos elementos de red.
TMSI es la identidad temporal utilizada para los servicios de circuitos (MSC) y P-TMSI para datos (SGSN)
En la norma, el cifrado es opcional y la integridad es obligatoria.
El terminal deduce los valores de integridad y cifrado del proceso de autenticacin.
La MSC informa a la RNC/BSC de los valores elegidos para el cifrado y la integridad
Estos procesos de seguridad slo se utilizan entre el terminal mvil y la UTRAN/BSS. El resto de las
comunicaciones entre nodos van en abierto.
Proteccin de Datos: Proteccin de Datos: Proteccin de Datos: Proteccin de Datos:
Integridad y Cifrado Integridad y Cifrado Integridad y Cifrado Integridad y Cifrado
14
Integridad Integridad Integridad Integridad: protege contra la introduccin de datos falsos o modificacin de los mismos. (Slo UMTS)
Cifrado Cifrado Cifrado Cifrado: protege de la observacin de los datos (GSM/UMTS)
Proteccin de Datos: Proteccin de Datos: Proteccin de Datos: Proteccin de Datos:
Integridad y Cifrado Integridad y Cifrado Integridad y Cifrado Integridad y Cifrado
15
Hasta terminar el proceso de integridad y cifrado los mensajes viajan sin proteccin.
La integridad es slo para los mensajes de control en el acceso radio.
El cifrado es para mensajes y datos de usuario en el acceso radio.
Los Sistemas. El futuro Los Sistemas. El futuro Los Sistemas. El futuro Los Sistemas. El futuro
16
Proteccin de las comunicaciones Proteccin de las comunicaciones Proteccin de las comunicaciones Proteccin de las comunicaciones
Accesibilidad:
Segmentacin de Redes (VLANs, FWs,)
Evitar comunicaciones no seguras (uso de sftp, ssh, https,)
Encriptacin de la informacin (IPsec, VPN,)
Control de accesos y usabilidad:
Usuarios nicos
17
Usuarios nicos
Registros de actividad
Gestin de servicios (DPI)
Disponibilidad/fiabilidad:
Backups seguros
Redundancia (HW, SW, comunicaciones y datos)
Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil
18
Filtrado con Acceso por APN (nivel SGSN)
Se comprueba si el APN con el que el usuario desea entrar est registrado en su ficha de abonado.
Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil Servicios: Seguridad en la Banda Ancha Mvil
19
Seguridad en servicios IP (nivel GGSN) Seguridad AAA AAA AAA AAA AAA AAA AAA AAA (Radius):
A AA AA AA Autenticacin: Usuario/Password utilizados por usuario correctos?
A AA AA AA Autorizacin: En colaboracin con Directorio nico.
Provisin de etiquetas para flujos de acceso a servicios de datos.
A AA AA AA Accounting: Registros para facturacin
LTE (Next generation LTE (Next generation LTE (Next generation LTE (Next generation 4G) 4G) 4G) 4G)
20
LTE LTE LTE LTE - -- - VoIP VoIP VoIP VoIP
21
LTE LTE LTE LTE 4G: Caractersticas de la seguridad 4G: Caractersticas de la seguridad 4G: Caractersticas de la seguridad 4G: Caractersticas de la seguridad
Autenticacin Autenticacin Autenticacin Autenticacin: :: : Identificacin y reconocimiento entre el terminal y la red:
Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo Mtuo como en UMTS entre UE y EPC (Envolved Packet Core)
Empleo de algoritmo AKA (como en GSM y UMTS)
Proteccin Proteccin Proteccin Proteccin de de de de datos datos datos datos: :: :
22
Encriptacin/cifrado sobre los planos de control y usuario
Evita que la informacin la vea un tercero.
Clave de encriptacn de 128 bits con capacidad para 256 bits en un futuro.
Integridad sobre el plano de control.
Evita que la informacin sea manipulada o se le agreguen paquetes.
El EPC es bsicamente el MME ms los GWs de acceso.
El UE est formado por:
LTE LTE LTE LTE 4G: Autenticacin 4G: Autenticacin 4G: Autenticacin 4G: Autenticacin
El UE est formado por:
23
Terminal Terminal Terminal Terminal Equipment Equipment Equipment Equipment: : : : Se encarga de la gestin de los protocolos de acceso
del usuario
Mobile Mobile Mobile Mobile Termination Termination Termination Termination: : : : Se encarga del acceso a la PLMN
La clave K para la autenticacin mutua est almacenada en el AuC del HSS y en la USIM del UE
Con K se obtiene en USIM y AuC:
IK para integridad
LTE LTE LTE LTE 4G: Autenticacin 4G: Autenticacin 4G: Autenticacin 4G: Autenticacin
IK para integridad
CK para cifrado
A partir de la obtencin de KASME
Se calculan las claves y checksum que son enviados al MME.
El MME enva uno de esos checksums junto con una de las claves al UE.
El USIM calcula el resto de claves y checksums.
24
K KK KASME ASME ASME ASME (Access Security Manag. Entity)
02
AMENAZAS
Las grandes amenazas
25
Las grandes amenazas
Espionaje y filtracin de informacin Espionaje y filtracin de informacin Espionaje y filtracin de informacin Espionaje y filtracin de informacin
26
Espionaje y filtracin de informacin Espionaje y filtracin de informacin Espionaje y filtracin de informacin Espionaje y filtracin de informacin
27
Sabotaje en la central de la moraleja Sabotaje en la central de la moraleja Sabotaje en la central de la moraleja Sabotaje en la central de la moraleja
Y sin red telefnica, las alarmas no funcionan:
no pueden emitir el aviso a la centralita de
seguridad. Algunos vecinos han optado por
retrasar sus vacaciones
28
No se conocen las causas que desencadenaron el fuego. Lo nico seguro es que el
incendio fue provocado, ahora falta determinar si tambin fue intencionado, afirma
Amparo Bru, portavoz de la concejala de Barrio Urbanizaciones, adems de vecina de
La Moraleja.
Cada de toda la red de telefona de Vodafone Cada de toda la red de telefona de Vodafone Cada de toda la red de telefona de Vodafone Cada de toda la red de telefona de Vodafone
29
Amenazas externas / Amenazas internas Amenazas externas / Amenazas internas Amenazas externas / Amenazas internas Amenazas externas / Amenazas internas
Seguridad en la gestin (Amenazas internas)
30
Seguridad en redes y servicios. (Amenazas externas)
Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador
Espionaje industrial sobre el propio operador.
Cada de la Red de un operador de comunicaciones.

31
Cortes de cables
Sabotajes o destruccin de centros con infraestructuras claves.
Aprovechamiento de vulnerabilidades de equipos claves.
Espionaje de comunicaciones
Localizacin de terminales
Histrico de trfico (Llamadas, SMSs enviados, Correos, etc)
Interceptacin de trfico
Espionaje en el terminal: Agenda, SMSs, Correos, etc.
Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador
32
Espionaje en el terminal: Agenda, SMSs, Correos, etc.
Ataques especficos a sistemas de comunicaciones de FFyCCSE
Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador
33
Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador Resumen de amenazas sobre el operador
34
Escenarios de crisis: Youtube. Escenarios de crisis: Youtube. Escenarios de crisis: Youtube. Escenarios de crisis: Youtube.
35
Afectaciones en la operadora Afectaciones en la operadora Afectaciones en la operadora Afectaciones en la operadora
36
Gusano Stuxnet Gusano Stuxnet Gusano Stuxnet Gusano Stuxnet
37
Amenazas a travs de Redes del Operador Amenazas a travs de Redes del Operador Amenazas a travs de Redes del Operador Amenazas a travs de Redes del Operador
Caos financiero por problemas informticos de EEFF, Bolsa o
Hacienda
Destruccin grandes BBDD Estatales (o de empresas privadas)
Sabotajes en sistemas de control de infraestructuras:
38
Sabotajes en sistemas de control de infraestructuras:
Centrales de produccin de energa (Nucleares, Trmicas, etc)
Control de abastecimiento de agua.
Control de trfico areo o de trenes.
Control de semforos en ciudades
ZitMo, variante del troyano ZeuS que ataca a mviles ZitMo, variante del troyano ZeuS que ataca a mviles ZitMo, variante del troyano ZeuS que ataca a mviles ZitMo, variante del troyano ZeuS que ataca a mviles
39
03
AMENAZAS
Las amenazas de pequea escala
40
Las amenazas de pequea escala
Definicin de malware Definicin de malware Definicin de malware Definicin de malware
Malware Malware Malware Malware: :: : Proviene de la unin malicious software. Se entiende por malware cualquier programa,
documento o mensaje que puede resultar perjudicial para el uso de un ordenador.
Ejemplos de malware son los virus, los gusanos, troyanos y backdoors, Spyware, Adware y Dialers
41
Tipo de malware segn propagacin Tipo de malware segn propagacin Tipo de malware segn propagacin Tipo de malware segn propagacin
Virus Virus Virus Virus: :: : Malware que se aade a ejecutables legtimos que cuando son ejecutados se replica en nuevos
ejecutables.
Gusanos Gusanos Gusanos Gusanos: :: : Tambin se autoreplican pero se limitan a realizar copias de s mismos mediante vulnerabilidades
de red y sin utilizar otros ficheros. Principalmente se extienden a travs del correo electrnico

42
Troyanos Troyanos Troyanos Troyanos: :: : Malware que llega al ordenador como un programa inofensivo y al ejecutarlo, instala un segundo
programa, el troyano.
Tipo de malware segn propsito. Tipo de malware segn propsito. Tipo de malware segn propsito. Tipo de malware segn propsito.
Virus Virus Virus Virus: :: : Buscan replicarse en el mximo nmero de ejecutables posible degradando el funcionamiento del
sistema.
Spyware Spyware Spyware Spyware: :: : recopilan informacin del usuario y la envan a centros de control para su uso posterior, todo ello
sin conocimiento y consentimiento del usuario.
Backdoors Backdoors Backdoors Backdoors: :: : Malware que establece una "puerta trasera" a travs de la cual es posible controlar el ordenador
afectado. Es el mecanismo para controlar los ordenadores zombis que pertenecen a una botnet. Una vez
controlado se suele:
43
controlado se suele:
Instalar nuevos componentes: Spyware, Envo de SPAM, Ataques DDoS, Servidores Warez, etc.
Actualizar los existentes.
Troyanos bancarios Troyanos bancarios Troyanos bancarios Troyanos bancarios
44
Fuga de informacin mediante troyanos Fuga de informacin mediante troyanos Fuga de informacin mediante troyanos Fuga de informacin mediante troyanos
El mtodo utilizado ha consistido en la infiltracin del sistema informtico con una direccin de correo
electrnico pirateada que permita la entrada en un ordenador gracias a un documento adjunto que actuaba
de troyano.
45
04
Legislacin vigente
46
Legislacin vigente Legislacin vigente Legislacin vigente Legislacin vigente
Ley Ley Ley Ley Orgniza Orgniza Orgniza Orgniza de de de de las las las las Telecomunicaciones Telecomunicaciones Telecomunicaciones Telecomunicaciones (LOT) (LOT) (LOT) (LOT)
Consideracin como servicio de inters general y garantizar la liberalizacin del mercado de las telecomunicaciones
Obligacin de mantener el secreto de las comunicaciones
Definicin de conderaciones especiales para las telecomunicaciones desarrolladas en actividades esenciales para la
defensa nacional.
Ley Ley Ley Ley Orgnica Orgnica Orgnica Orgnica de de de de la la la la Proteccin Proteccin Proteccin Proteccin de de de de Datos Datos Datos Datos (LOPD) (LOPD) (LOPD) (LOPD)
47
Ley Ley Ley Ley Orgnica Orgnica Orgnica Orgnica de de de de la la la la Proteccin Proteccin Proteccin Proteccin de de de de Datos Datos Datos Datos (LOPD) (LOPD) (LOPD) (LOPD)
Garantizar y proteger los derechos de las personas a travs del tratamiento de sus datos personales
Ley Ley Ley Ley de de de de Servicios Servicios Servicios Servicios de de de de la la la la Sociedad Sociedad Sociedad Sociedad de de de de la la la la Informacin Informacin Informacin Informacin (LSSI) (LSSI) (LSSI) (LSSI)
Regula las actividades econmicas procedentes de comercios electrnicos y otros servicios de Internet.
05
Organizacin de la seguridad en
Telefnica Espaa
48
Componentes Componentes Componentes Componentes de de de de la la la la Seguridad Seguridad Seguridad Seguridad de de de de la la la la Informacin Informacin Informacin Informacin
15%
Tecnologa Tecnologa Tecnologa Tecnologa
(Herramientas, Integracin) (Herramientas, Integracin) (Herramientas, Integracin) (Herramientas, Integracin)
Introduccin y conceptos de Seguridad Introduccin y conceptos de Seguridad Introduccin y conceptos de Seguridad Introduccin y conceptos de Seguridad
49
85%
Procesos Procesos Procesos Procesos
Personas Personas Personas Personas
Metodologa Metodologa Metodologa Metodologa
Gestin del Riesgo
riesgos
Gobierno de la
Seguridad
Programa de Gestin de la Seguridad Operacional Programa de Gestin de la Seguridad Operacional Programa de Gestin de la Seguridad Operacional Programa de Gestin de la Seguridad Operacional
50
Gestin de Crisis
Gestin de Incidentes
Gestin del Riesgo
incidentes
crisis
Gestin de la
Seguridad Operacional
Escalation
and Crisis
Mgmt
Counter-
measures
Program Administration and Analysis
Intrusion
Detection
Threat
Analysis
Vulnerability
Detection
Help Desk
Investigations
and Forensics
Corporate
Crisis
Management
Team
Communications
Operations Privacy
Other IT
Partners
HR/ ER
Global Network
Operations
Audit
Citizens
Law Enforcement
Intelligence Sources
Third-parties
OTHER
Incident
Response Team
Information Security
Incident Management Program
Event
Correlation
Other
Information
Security
Legal
Physical
Security
ITand
Information
Security
Management
Teams
STAKEHOLDERS
Employees
Customers
Vendors
Management
Businesses
Functions
Anti-Virus
Patch
Management Escalation
and Crisis
Mgmt
Counter-
measures
Program Administration and Analysis
Intrusion
Detection
Threat
Analysis
Vulnerability
Detection
Help Desk
Investigations
and Forensics
Corporate
Crisis
Management
Team
Communications
Operations Privacy
Other IT
Partners
HR/ ER
Global Network
Operations
Audit
Citizens
Law Enforcement
Intelligence Sources
Third-parties
OTHER
Incident
Response Team
Information Security
Incident Management Program
Event
Correlation
Other
Information
Security
Legal
Physical
Security
ITand
Information
Security
Management
Teams
STAKEHOLDERS
Employees
Customers
Vendors
Management
Businesses
Functions
Anti-Virus
Patch
Management
50
Organizacin y funciones Organizacin y funciones Organizacin y funciones Organizacin y funciones
Oficina tcnica de la Seguridad TOS
Estrategia y Desarrollo tecnolgico
de la Seguridad
Supervisin y Operacin
de la Seguridad
SEGURIDAD TE
Gobierno de la Seguridad
y la Continuidad
51
Red
Sistemas
Plataf Servicio
Gestin
Eq Cliente
Tecnologas de Seguridad
Proteccin contra amenazas internas Proteccin contra amenazas internas Proteccin contra amenazas internas Proteccin contra amenazas internas
Accesibilidad:
Segmentacin de Redes (VLANs, FWs,)
Comunicaciones seguras (uso de sftp, ssh, https,)
Control de accesos:
Usuarios nicos
52

Seguridad en el puesto de trabajo

Registros de actividad
Disponibilidad:
Backups seguros
Redundancia (HW, SW, comunicaciones y datos)
Soluciones Tecnolgicas: Control de SMishing. Soluciones Tecnolgicas: Control de SMishing. Soluciones Tecnolgicas: Control de SMishing. Soluciones Tecnolgicas: Control de SMishing.
53
Control de SMSs enviados a clientes Movistar desde redes internacionales.
DETECCIN SPAM-SMS procedente de operadores perifricos.
CONTENCIN filtrando trfico fraudulento en la red de sealizacin SS7.
INFORMACIN a empresas usuarias de SMSs. (Entidades Bancarias).
CONTROL de los operadores internacionales ms sospechosos.
Soluciones Tecnolgicas: Control del malware Soluciones Tecnolgicas: Control del malware Soluciones Tecnolgicas: Control del malware Soluciones Tecnolgicas: Control del malware
54
Base de datos con IPs y lneas ADSL/BAM con actividad maliciosa.
IDENTIFICACION de lneas con patrones sospechosos.
Se utiliza en los centros de atencin tcnica cuando llama el cliente.
SEGUIMIENTO de informacin en Listas de reputacin.
SEGUIMIENTO del malware de mayor impacto.
CONTROL de epidemias entre los clientes.
INFORMACIN clientes del estado de sus lneas en cuanto a malware
Servicio Antifraude y AntiPhishing Servicio Antifraude y AntiPhishing Servicio Antifraude y AntiPhishing Servicio Antifraude y AntiPhishing
55
Servicio para evitar la captura de credenciales y la manipulacin de transacciones bancarias y/o
comerciales.
DETECCIN y BLOQUEO de acceso a sitios fraudulentos.
DETECCIN y BLOQUEO de mensajes y correos fraudulentos.
Control de ataques de DDoS Control de ataques de DDoS Control de ataques de DDoS Control de ataques de DDoS
56
Servicio para mitigar ataques de denegacin de servicio contra IPs de la red de Telefnica, tanto
servicios propios como de clientes.
IDENTIFICACIN del patrn del ataque.
DESVO del trfico al centro de mitigacin.
FILTRADO en funcin del patrn de ataque
Procesos de operacin de seguridad Procesos de operacin de seguridad Procesos de operacin de seguridad Procesos de operacin de seguridad
57
MON
AME
VUL
Security Operation Center (SOC) Security Operation Center (SOC) Security Operation Center (SOC) Security Operation Center (SOC)
58
EGI
MON
AME
VUL
SOC SOC SOC SOC - -- - MON MON MON MON
Recopilacin de logs y almacenado en BBDD
Actualizar patrones de deteccin, y firmas en las herramientas del
rea..
Motor de agregacin, correlacin y filtrado de eventos.
Identificacin de los falsos positivos dentro de las alarmas recibidas.
59
EGI
Monitorizacin en tiempo real de las alarmas de seguridad.
Ejecucin de procedimientos de resolucin ante la aparicin de
alarmas.
Escalado de alarmas para cuya resolucin no se disponga de
procedimiento.
MON
AME
VUL
SOC SOC SOC SOC - -- - AME AME AME AME
Bsqueda de informacin de amenazas en foros y webs de
seguridad.
Revisin de listas de seguridad.
Mantenimiento de los canales de comunicacin con la
industria de seguridad.
Comunicar las amenazas ms relvantes.
60
EGI
Comunicar las amenazas ms relvantes.
Identificar las tecnologas afectadas y qu sistemas estn
expuestos.
Asignar un nivel de riesgo. Si es crtico o alto, escalarlo al
EGI.
Validar que esas soluciones aplican y se pueden aplicar a
TME
Cuadros de mando sobre amenazas en diversas mbitos de
la compaa.
Control de epidemias
MON
AME
VUL
SOC SOC SOC SOC - -- - VUL VUL VUL VUL
Configurar y ejecutar revisiones peridicas de sistemas, equipos
y app.
Revisar nuevas firmas de escaneos en base a nuevas amenazas.
Mantener la lista de sistemas a revisar.
Generar informe de resultados y revisar resultados en busca de
falsos positivos, datos relevantes,
61
EGI
falsos positivos, datos relevantes,
Buscar el parche de vendedor u otras posibles soluciones a la
amenaza en foros.
Correccin y seguimiento del estado de las vulnerabilidades
Generacin de informes
MON
AME
VUL
SOC SOC SOC SOC - -- - EGI EGI EGI EGI
Determinacin de impacto y eventualmente en la probabilidad de
ocurrencia.
Identificacin de los responsables del servicio afectado.
Coordinacin de la respuesta inicial.
Desarrollo y ejecucin un plan de contencin para minimizar el
impacto del AVI en la organizacin.
62
EGI
impacto del AVI en la organizacin.
Desarrollo y ejecucin de un plan de solucin.
Desarrollo y ejecucin de un plan de mejora.
Value Drivers Customer Satisfaction Employees Financial Brand/ Rep Regulatory Compliance
Management
Level
# of Customers
impacted
Privacy Breech or
Compromise of
Cust Info
Product or
Business Issue
Customer Systems
Outage - Duration
TCE Variance or
Pts at Risk
Threat To
Employee
Satisfaction
Employee Safety
Cost
Revenue
Reporting Delay
Impact on the
Brand/Rep
Legislative/
Regulatory
High 8000 100 + WW Product issue or Business Impact
> 48 hrs > 6% Global Emp loyee Impact
Loss of lif e > $10m >$20 m > 7 days Global Media Coverage
Cri minal or ci vil li abi li ty for executives (i.e., Sar banes-Oxley)
Med
5000 10-100 Region with high public exposur e
8 48 hrs
2% - 4% Region with high public expos-ure
$1m to $10m $2- 20m 3-7 days National/ Local Media Coverage
Potential non- compli anc e may res ult in cri minal or ci vil li abi li ty for executives (i.e., Sar banes-Oxley)
Low
2500 1-10 Region < 8 hrs < 2% Region < $1m <$2m < 3 Days No Media Coverage SOP to bring organization into compli anc e has not been defined and/or fol lowed.
Va l u e D ri v ers Cus t o me r Satisfac t io n Emplo yee s Fina ncial Br an d/ Rep Regu l at ory Co mpl i an ce
Management
Level # of Customers
impacted
Privacy Breech or
Compromise of
Cust Info
Product or
Business Issue
Customer Systems
Outage - Duration
TCE Variance or
Pts at Risk
Threat To
Employee
Satisfaction
Employee Safety
Cost Revenue
Reporting Delay
Impact on the
Brand/Rep
Legislative/
Regulatory
Hi g h 80 00 10 0 + WW P r o du ct i ssue o r Busi ne ss Impa ct
> 48 hrs >6% Glo bal Emp l oyee Impact Loss of l i fe > $10 m >$2 0 m >7 day s Gl obal Med i a Cove r a ge Cri mi na l o rc i vi l l i ab i l i t y f o r e xe cu ti ve s (i . e ., Sa rba ne s-Oxl ey )
Med 50 00 10 -100 Regi o n wi t h hi gh pu bl i c ex posu re
8 48 h r s 2% - 4% Regi on wit h h ig h pub l ic exp os-ure
$ 1m t o $ 10m $ 2- 2 0m 3-7 day s Nat i onal / Local Med i a Cove r a ge Po te nt i al no n- c omp l i a nc e ma y re su l t i n cri m i n al o r ci v i l l i ab i l i t y fo r e xe cu ti ve s (i . e ., Sa rba ne s-Oxl ey ) Low 25 00 1-1 0 Regi o n <8 hrs <2% Regi on < $1m <$2 m <3 Days No Med i a Cove r a ge SOP t o bri ng o rga ni za ti o n i n t o c omp l i a nc e ha s n ot be en de fi n ed a nd / or f ol l o wed .
Va lu e D riv ers Cus to me r S at i sfac ti o n Empl o yee s F i na nci al Br an d/ Rep Regu l at ory Co mpl i an ce
Management
Level # of Customers
impacted
Privacy Breech or
Compromise of
Cust Info
Product or
Business Issue
Customer Systems
Outage - Duration
TCE Variance or
Pts at Risk
Threat To
Employee
Satisfaction
Employee Safety
Cost Revenue
Reporting Delay
Impact on the
Brand/Rep
Legislative/
Regulatory
Hig h 80 00 10 0 + WW P r o du ct i ssue o r Busi ne ss Impa ct
> 48 hrs >6% Glo bal Emp l oyee Impact Loss of l i fe > $10 m >$2 0 m >7 day s Gl obal Med i a Cove r a ge Cri mi na l o rc i vi l l i ab i l i t y f o r e xe cu ti ve s (i . e ., Sa rba ne s-Oxl ey )
Med 50 00 10 -100 Regi o n wi t h hi gh pu bl i c ex posu re
8 48 h r s 2% - 4% Regi on wit h h ig h pub l ic exp os-ure
$ 1m t o $ 10m $ 2- 2 0m 3-7 day s Nat i onal / Local Med i a Cove r a ge Po te nt i al no n- c omp l i a nc e ma y re su l t i n cri m i n al o r ci v i l l i ab i l i t y fo r e xe cu ti ve s (i . e ., Sa rba ne s-Oxl ey ) Low 25 00 1-1 0 Regi o n <8 hrs <2% Regi on < $1m <$2 m <3 Days No Med i a Cove r a ge SOP t o bri ng o rga ni za ti o n i n t o c omp l i a nc e ha s n ot be en de fi n ed a nd / or f ol l o wed .
Definicin de interrelaciones Definicin de interrelaciones Definicin de interrelaciones Definicin de interrelaciones
63 63
Monitorizacin
Correlacin
Filtro
Agregacin
Generacin
alarmas
Value Drivers Customer Satisf action Employees Financial Brand/ Rep Regulator y Compliance
Management
Level
# of Customers
impacted
Privacy Breech or
Compromise of
Cust Info
Product or
Business Issue
Customer Systems
Outage - Duration
TCE Variance or
Pts at Risk
Threat To
Employee
Satisfaction
Employee Safety
Cost
Revenue
Reporting Delay
Impact on the
Brand/Rep
Legislative/
Regulatory
Hi gh 8000 100 + WW Product issue or Business Impact
> 48 hrs > 6% Global Employee Impact
Lossof life > $10m >$20 m > 7 days Global Media Coverage
Cri minal or civil li abi lity for executives (i.e., Sarbanes-Oxl ey)
Med 5000 10-100 Region 8 48 2%- Region $1m to $2- 3-7 days National/ Potential non-
Se recopilan los logs
de los sistemas de
Benito S.A.
MON recibe alarmas
notificando la
existencia del patrn
de trfico peligroso.
Como no tiene
procedimiento y no entiende
el tipo de ataque, abre una
incidencia
1.0
Recopilacin y
tratamiento de
eventos
2.0
Monitorizacin y
evaluacin de
alarmas
3.0
Escalar
Los IDS detectan
patrones de trfico
anmalos, generando
eventos que se redirigen
INT genera firmas
de deteccin de
trfico anmalo en
la red de Benito
S.A.
Se evala el
impacto sobre
los sistemas
vulnerables
(Impacto Alto) 6.0
Se agregan los logs, y
se correlan con la
informacin de las
amenazas.
Definicin de interrelaciones Definicin de interrelaciones Definicin de interrelaciones Definicin de interrelaciones
Ejemplo de propagacin de gusanos en redes internas
64
Deteccin de
Vulnerabilidades
Med
5000 10-100 Region with high public exposure
8 48 hrs
2%- 4% Region with high public expos-ure
$1m to $10m $2- 20m 3-7 days National/ Local Media Coverage
Potential non- compliance may result in crimi nal or civi l liabil ity for executives (i.e., Sarbanes-Oxl ey)
Low
2500 1-10 Region < 8 hrs < 2% Region < $1m <$2m < 3 Days No Media Coverage SOPto bring organi zation i nto compliance has not been defined and/or followed.
Deteccin y
respuesta a
intrusiones
1.0
Diseo y
actualizacin
de patrones
EGI
1.0
Descubrir
2.0
Determinar
3.0
Contener
4.0
Remediar
5.0
Cerrar
Se actualiza
la BBDD de
incidentes y
el KM
El EGI clasifica el incidente en
funcin de su impacto (en este
caso alto por poder afectar a
sistemas de produccin crticos),
identifica a los responsables de
los sistemas afectados, revisa las
alertas de seguridad y considera
que una mala gestin puede
provocar un incidente grave
El EGI lo recibe, se
cerciora de que es de su
competencia, guarda el
informe en la BBDD de
incidentes y confirma la
disponibilidad de toda la
informacin necesaria
eventos que se redirigen
automticamente a MON
EGI abre un ticket a
INT, para que aisle
el patrn de trfico y
cree una regla para
detectar su
existencia
2.0
Escaneo
extraordinario de
vulnerabilidades (Out-
of-band)
S.A. (Impacto Alto)
Escalado y Gestin de Crisis
1.0
Detectar
5.0
Comunicaciones
EGI escala el incidente
para llevar a cabo una
comunicacin adecuada
a la direccin, sin
necesidad de movilizar
recursos extraordinarios
INT determina que se trata de un
gusano, que no se puede aislar el
trfico y que el slo puede
detectar un patrn de trfico, pero
que puede confundirse con trfico
legtimo.
EGI y INT determinan que puede
crearse un filtro de correlacin en
MON que en base a una regla que
evalue trfico conjunto de un Firewall
con su evento asegura un 100% de
fiabilidad en la deteccin. Adems,
se revisan las alertas de seguridad y
la Base de datos de vulnerabilidades
y se determina la necesidad de
aplicar un parche a los sistemas
vulnerables
EGI abre un
ticket a MON
para que cree la
regla
correspondiente
Se mantiene
informada a la
Direccin y alerta a
todos los
responsables
involucrados
Se solicita un
escaneo de
vulnerabilidades
a medida para
verificar la
remediacin
Grupos de soporte,,
etc.
Se informa a otros
grupos de la necesidad
de parchear los
sistemas windows
vulnerables
Incidente cerrado
Se comunica el cierre
a AME para que
actualice las alertas,
as ccmo a Escalado
y Gestin de Crisis
(se cierra la crisis),
grupos de soporte,
etc.
6.0
Diseo y mantenimiento de los
mecanismos de filtro y correlacin
AME actualiza la alerta
correspondiente con
informacin sobre la resolucin
06
Localizacin e Intercepcin Legal
65
Localizacin Localizacin Localizacin Localizacin
En servicios de telefona fija, la lnea determina su situacin.
En servicios de telefona mvil, el punto de cobertura indica la situacin:
precisin
66
Zona Rural Zona Urbana
Arquitectura de la Intercepcin Legal Arquitectura de la Intercepcin Legal Arquitectura de la Intercepcin Legal Arquitectura de la Intercepcin Legal
MSC
SGSN
IIF
IIF
Mediation
HI1
HI2
HI3
Interfaces utilizados:
HI HI HI HI HI HI HI HI1 11 11 11 1: Para gestin de las comunicaciones con el LEA
HI HI HI HI HI HI HI HI2 22 22 22 2: Registros IRI IRI IRI IRI Sealizacin, control, localizacin,... del interceptado
HI HI HI HI HI HI HI HI3 33 33 33 3: Registros CC CC CC CC Contenido de las comunicaciones
BRAS
IIF
67 67
GGSN
IIF
Mediation
Function LEA
Red del Operador Red del Operador
Referencia: 3GPP TS 33.108 V6.10.0 (2005 Referencia: 3GPP TS 33.108 V6.10.0 (2005- -12) 12)
La La La La informacin informacin informacin informacin se se se se manda manda manda manda al al al al LEA LEA LEA LEA mediante mediante mediante mediante protocolos protocolos protocolos protocolos estandar estandar estandar estandar
La La La La informacin informacin informacin informacin es es es es codificada codificada codificada codificada antes antes antes antes de de de de ser ser ser ser enviada enviada enviada enviada
La La La La informacin informacin informacin informacin enviada enviada enviada enviada se se se se encuentra encuentra encuentra encuentra definida definida definida definida en en en en los los los los estandares estandares estandares estandares
IRI IRI IRI IRI tiene tiene tiene tiene cuatro cuatro cuatro cuatro tipos tipos tipos tipos de de de de eventos eventos eventos eventos: :: :
IRI-BEGIN: Activacin de contexto
IRI-END: Desactivacin de contexto
IRI-CONTINUE: Modificacin de contexto
IRI-REPORT: Attach, Detach, Activacin contexto fallida
IRI IRI IRI IRI y yy y CC CC CC CC pueden pueden pueden pueden ser ser ser ser correlados correlados correlados correlados en en en en destino destino destino destino
El proceso de Intercepcin Legal El proceso de Intercepcin Legal El proceso de Intercepcin Legal El proceso de Intercepcin Legal
68 68
Mediation Function Ncleo de la Red donde interceptar
Referencia: 3GPP TS 33.108 V6.10.0 (2005 Referencia: 3GPP TS 33.108 V6.10.0 (2005--12) 12)
Donde estamos Donde estamos Donde estamos Donde estamos
Cualquier avance Cualquier avance Cualquier avance Cualquier avance
de ayer de ayer de ayer de ayer
es viejo hoy es viejo hoy es viejo hoy es viejo hoy
Cualquier avance
de maana
enseguida se
hace presente
69
69
es viejo hoy es viejo hoy es viejo hoy es viejo hoy hace presente
70