sábado, 15 de octubre de 2016

¿Pagar por recuperar mi información?


Básicamente al leer la pregunta nos ponemos a pensar ¿Por qué pagaría por mis datos?
En la actualidad existen malware llamados RANSOMWARE, se puede considerar como “Secuestro de información” (Cibersecuestro de datos). Consiste en un software malintencionado infecta el equipo u ordenador y encripta los archivos obligando al pago de cierta cantidad de dinero para recuperarlo.

Existe un modelo de negocio llamado Ransomware-As-A-Service (RAAS), especialmente en Rusia. Empieza con la venta de paquetes completos del malware a terceros, recibiendo un porcentaje de la tarifa de rescate que abone la victima por recuperar sus datos. Es por ello que a este tipo de amenazas las llaman APT – Advanced Persistent ThreatAmenaza Persistente Avanzada.


¿Sabían que se han detectado virus (troyanos) imitando las técnicas utilizadas por los Ransomware?  Se trata de un troyano Trojan-cryptor Polyglot llamado MarsJoke. Este imita las técnicas utilizadas por el temido Ransomware CTB-Locker. Su principal medio de propagación es correos electrónicos no deseados, posee documentos de confianza, enmascarando un instalador malicioso. Kaspersky ha creado una herramienta gratuita que permite descifrar la encriptación de esta amenaza. se llama RannohDecryptor (versión 1.9.3.0 o posterior). 



No solo existen Malware de la familia Ransomware que secuestran información como Locky, CryptoWall o TeslaCrypt, pidiendo rescate por la información cifrada. Ranscam, pertenece a la familia de Malware el cual no encripta la información de los dispositivos con Windows, sino que los BORRA por completo. Usa la misma metodología que un Ransomware común pidiendo rescate de 0.2 Bitcoint, sin embargo, los elimina indiferentemente que se pague o no. Obviamente es una amenaza mucho más peligrosa. Los investigadores de Talos Security Intelligence (Investigadores de Cisco), no se ha encontrado evidencia del método de infección, se presume que haya sido por ataques de phishing, por ser la vía más usada por los Ransomware. 


Ya es molesto ver una pantalla que te indique que posees un APT o Ransomware con un contador de tiempo pidiéndote pagar por tu información. Ahora imagina tener uno que convierta el texto en voz para exclamar las amenazas en alto “YOU PERSONAL FILES ARE ENCRYPTED, TO DECRYPT YOUR FILES FOLLOW THE INSTRUCTIONS:…”. Esto lo hace el Cerber. Teniendo una característica que lo diferencia, está programado para no infectar a usuarios de países de habla Rusa. Su método de infección es enviar una alerta o mensaje indicando que posees un error en el ordenador (esto luego de estar instalado), para incitar al usuario a reiniciar el ordenador, utiliza cifrado AES para encriptar el contenido. Solicita el pago de 1.24 Bitcoint, proporcionan una URL de la Dark Web con dominio .onion. De momento los investigadores no han podido desencriptar los contenidos.


Para los que tienen ordenadores Apple les tengo una mala noticia. SI EXISTE MALWARE RANSOMWARE para estos equipos. Es llamado KeRanger, es el primero con estas características completamente funcional, posee la capacidad de infectar el OS X y encriptar el contenido del disco duro. Han utilizado Transmisión, una aplicación para descargar archivos Torrent. La actualización del aplicativo contiene un Ransomware. Se activa a los 3 días para conectarse al servidor y empezar el ataque. El pago es de 1 Bitcoint.

Los desarrolladores del aplicativo Transmission han lanzado actualizaciones de emergencia para solucionar el problema. Motivando a los usuarios actualizar de las versiones 2.90 y 2.91 a la versión 2.92, aseguran que esta versión elimina por completo el malware OSX.KeRanger.A del ordenador. Por su parte Apple, señala que ha revocado el certificado digital que empleaba KeRanger, ya que permitía que el Ransomware se instalase sin ser detectado. Los amigos de Palo Alto poseen información en su Blog para detectar y eliminar esta amenaza. 


Este tipo de amenaza no se puede eliminar una vez ingresa a nuestro ordenador o dispositivo portátil. El malware se esconde detrás de archivos de confianza para que el usuario al recibirlo haga click e instale un aplicativo para encriptar los datos. Los podrían encontrar en archivos adjuntos de correos, Acortadores de URL, videos de páginas de dudoso origen y en programas o actualizaciones de aplicaciones confiables. Lo único que podemos hacer es, EVITARLOS.

                ¿Porque el Ransomware ha tenido tanto auge en la actualidad? - Estos ataques son normalmente dirigidos a usuarios o sectores específicos. Esto se debe a que el ciudadano común no posee los medios de pago y prefieren formatear el equipo antes de des encriptar sus datos. Pequeñas y grandes empresas han sido afectados, incluyendo instituciones públicas, es más rentable.
Se han pagado enormes cantidades de dinero para liberar archivos infectados. Un caso muy sonado en EEUU ha sido el del Palacio de Justicia de la Corte Superior de Arizona en el Condado de Pima, pero también la infección por Ransomware de los hospitales Lukas de la ciudad de Neuss y el Klinikum Arnsberg en Renania del Norte, éstos últimos en Alemania. Los funcionarios tuvieron que trabajar de forma manual, desempolvando lápiz y papel.

Si estas infectado te recomendamos formatear el ordenador. Ya que no se recomienda el pago al ciber criminal. Como hemos mencionado en ocasiones no devolverán el control de tu ordenador.

                ¿Cómo evitarlo? – Mantén tu Firewall actualizado, junto a el sistema operativo, navegadores y antivirus. No abras correos o archivos de remitentes desconocidos. Si vez una advertencia al abrir una página web, no forzar el ingreso, evita ingresar para evitar problemas futuros. Ten copias de seguridad de tu ordenador almacenados en otros medios de almacenamiento externos.

                Varias compañías se han sumado a esta batalla en contra del Ransomware. Como sistema operativo, Microsoft aumenta la seguridad de su navegador EDGE en Windows 10 Enterprice. Windows Defender Application Guard aisla el navegador, dificultando el hackeo en las PCs. En cuanto seguridad perimetral el Firewall WatchGuard posee un servicio de seguridad llamado APT-Blocker. Este servicio posee las huellas de LastLine. Y seguridad local, antivirus Kasperky, el cual ha lanzado el No More Ransom - Iniciativa de Rescate, junto con la policía de los Países Bajos, Europol, y la seguridad de Intel para aumentar el conocimiento del problema y ayudar a las víctimas de extorsionistas. En este portal, se pueden realizar denuncias y descargar 4 herramientas de descifrado de malware. Adicional, a una herramienta gratuita la cual no necesita tener la seguridad de Kaspersky Lab instalado. Pueden conseguirla aqui.
Estadísticas de Ransomware, según Bromium, hasta el 2015: 


Fuentes de información:
-          Kaspersky Lab
-          Bleeping Computer
-          G DATA
-          Bobsguide
-          No More Ransom - Iniciativa de Rescate www.nomoreransom.org



Edgardo Echagarreta
Coordinador de Operaciones 
Servicios de Proyectos y Consultoría SGSI 0526

lunes, 10 de octubre de 2016

Estableciendo túnel VPN con Amazon Web Services VPC & WatchGuard (Parte II-II)




Configuración en dispositivo Firebox WatchGuard para conectividad IPsec con VPC de AWS:






Entorno:
XTM SO 11.11.2, Basic Security Suite + DLP + Dimension Command
Enlace de Internet para conectividad con IPsec - VPC con AWS: Dedicado de 8 MBPS
Entorno de red avanzado: Switch Core, MPLS conectividad a nivel nacional con sedes, conectividad con sedes vía IPsec (BOVPN), MultiWAN, DMZ, Static Routing, Servicios publicados (SAP), Concentrador de redes móviles (SSL)

Necesidad:
Es requerido cerrar en los servidores de AWS accesos no autorizados desde Internet, mitigando de esta forma la exposición de servicios y cierre de posibles brechas de seguridad en los mismos a publicar, recientemente contratados en Amazon y necesarios para integrar servicios hibridos en la infraestructura empresarial.

Planteamiento:
Creación de una conectividad IPsec a través de VPC (Virtual Provate Cloud) de Amazon Web Services desde la red corporativa. Medición y bases de estabilidad en la misma (performance) y disponibilidad. Cierre de servicios publicados desde Internet.

Solución:
Configuración y puesta en marcha de conectividad VPN desde Firebox WatchGuard con VPC de AWS

Paso 1: De acuerdo a la configuración generada desde el servidor AWS (archivo TXT con la información del túnel llamado VPN Connection Configuration) establecemos en el dispositivo WatchGuard a través del Policy Manager la configuración #1:
1.- Lo colocamos un nombre a este gateway
2.- Aplicamos el Pre-Shared Key.
3.- Establecemos los gateway endpoints (el local corresponde a la dirección IP pública desde el ISP previa y debidamente configurada en el Firebox. la dirección IP remota, corresponde al gateway de AWS para el VPC)


Opciones generales previo a fase I


Paso 2: Procedemos con la configuración y parametrización generada desde el mismo archivo, esta vez con la fase I de negociación para establecimiento del túnel, por ejemplo, el archivo TXT nos muestra la siguiente información en el VPC:

  - Authentication Algorithm : sha1
  - Encryption Algorithm     : aes-128-cbc
  - Lifetime                 : 28800 seconds
  - Phase 1 Negotiation Mode : main
  - Perfect Forward Secrecy  : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
  - DPD Interval             : 10

  - DPD Retries              : 3

En el Policy Manager del Firebox lo trasladamos de la siguiente forma:

Configuración de fase I autenticación, encriptación y SA

Tips: la sugerencia del VPC es habilitar NAT-T (NAT Traversal) en caso de que el gateway endpoint local este ubicado detrás de otro dispositivo Firewall o capa 3 y tener habilitado el puerto UDP 4500, en caso contrario, bien puede deshabilitar NAT-T.  En nuestro caso, no es requerida la habilitación del NAT-T


Paso 3: Aceptamos los cambios de configuración en el Polícy Manager del Firebox (recuerde que esto corresponde a la sección: VPN - Branch Office Gateways).
Hasta este momento hemos configurado los gateways y la fase de negociación I, procederemos con la fase II a continuación:

1.- En el Polícy Manager: VPN - Branch Office Tunnels - Add.
2.- Le colocamos un nombre o ID a esta configuración. Seleccionamos el Gateway (el configurado previamente en el paso 1)  
3.- Agregamos el direccionamiento IP (listas de acceso Ipsec) origen/ destino. El origen corresponde al direccionamiento IP de nuestra red local, el destino corresponde al direccionamiento IP privado correspondiente a los servidores en el segmento de AWS (servidores remotos).


Estableciendo AL y configuración de fase I


Tips: Recuerde que puede seleccionar el sentido de tráfico, unidireccional o bidireccional, también puede agregar en el origen del túnel el segmento 0.0.0.0/0 donde índica que cualquier segmento de red local puede llegar al segmento remoto de los servidores en AWS, en nuestro ejemplo, el segmento IP de los servidores en AWS es 192.168.22.0/24
Recuerde tildar la opción (en caso contrario): Add this tunnel to the BOVPN-Allow policies, establecido de manera predeterminada.

Paso 4: Estableciendo parametrización generada desde archivo TXT del VPC, tal y como nos menciona:

Configure the IPSec SA as follows:
Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and 24.
  - Protocol                 : esp
  - Authentication Algorithm : hmac-sha1-96
  - Encryption Algorithm     : aes-128-cbc
  - Lifetime                 : 3600 seconds
  - Mode                     : tunnel
  - Perfect Forward Secrecy  : Diffie-Hellman Group 2

Procedemos a través del Policy Manager del Firebox:

Configuración de fase II del túnel Ipsec para VPC

Tips: Recuerde que ambos extremos deben estar configurados exactamente iguales, y aunque hay parametros con nombres diferentes, debemos trasladar algunos valores con los que trabaja nuestro dispositivo WatchGuard, por ejemplo: el Lifetime en el VPC es de 3600 segundos, en WatchGuard es una hora (haciendo la conversión respectiva) 

Tips: la configuración del VPC de AWS hace enfásis en que debe ser configurado en modo transparente la fragmentación de paquetes Ipsec desde la interfaz externa utilizada como gateway, así como otras referencias:

IPSec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space, 
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following 
configuration on your Customer Gateway:
  - TCP MSS Adjustment       : 1387 bytes
  - Clear Don't Fragment Bit : enabled

  - Fragmentation            : Before encryption


Configuración de la interfaz externa (gateway) ajustes adicionales.
Al aplicar esta configuración en el Firebox a través del Policy Manager, considerando que ambos extremos hacen match de configuración el túnel se establece.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

lunes, 3 de octubre de 2016

Estableciendo túnel VPN con Amazon Web Services VPC & WatchGuard (Parte I-II)



Estableciendo una conexión VPN desde una VPC de AWS con un dispositivo Firebox WatchGuard

Entorno
Cloud de Amazon Web Services (AWS)

Enlace de Internet de la VPC para el túnel VPN: 1Gbs
Topologías: Conexión entre sedes (BOVPN), en escenarios híbridos empresariales (Cloud + On Premises)

Escenario



Necesidad
Cerrar las brechas de seguridad frente a internet y establecer un canal de comunicación seguro entre los servidores ubicados en la nube de AWS EC2 y la red corporativa privada

Solución
Configuración y puesta en marcha de conectividad VPN entre una VPC de AWS y un Firebox WatchGuard (VPN Concentrator ubicado en una sucursal empresarial privada)

Requisitos
1.- Debes tener una cuenta en Amazon Web Services.
2.- Tener configurada tu VPC(Segmento de red privado) en AWS

Paso A
- Entramos en la consola de administración de Amazon AWS
- Ubicamos la pestaña de (Services), busca la sección de Networking y VPC

Nota: ya debes tener tu VPC configurada en AWS

Pasos que necesitamos completar para crear una VPN desde AWS VPC con un dispositivo WatchGuard

Paso 1 - Configuramos el Customer Gateway
Paso 2 - Configuramos el Virtual Private Gateway (Endpoint de ubicado AWS VPC)
Paso 3 - Configuramos la Conexión VPN

Es sencillo crear una VPN desde AWS abajo te expongo más detalles de como hacerlo paso a paso.

En el VPC Dashboard

Paso 1 - Customer Gateway
  1. - Ubicamos en el menú Izquierdo el sub-menú Customer Gateway
  2. - Damos click en el botón Azul que dice Create Customer Gateway




3.- Aquí colocamos los datos de configuración del Customer Gateway:

Name tag: Gateway la Trinidad CCS colocamos una etiqueta que identifique, el EndPoint ubicado en la Oficina.
Routing: Static - Seleccionamos Static, ya que estamos trabajando con rutas estaticas
IP address: 186.24.30.199 - (IP publica del Firebox WatchGuard)




Una vez creado y configurado nuestro Customer Gateway lo veremos como en el print de abajo





Paso 2 - Virtual Private Gateway

1.- Seleccionamos el submenú Virtual Private Gateway
2.- Damos click en el botón Create Virtual Private Gateway





3.- En Name tag: VPN Tunnel La Trinidad CCS (Colocamos cualquier etiqueta que identifique el EndPoint ubicado en AWS VPC)




Paso 2 - Virtual Private Gateway
4.- Como notaras nuestro Virtual Private Gateway recién creado está en un estado de detached.





Ahora tenemos que asociar nuestro Virtual Private Gateway, a una VPC (Red Privada en AWS que quieres conectar con tu oficina) ya pre configurada.

5.- Damos click en Attach to VPC.
6. - Seleccionamos la VPC que queremos asociar a nuestro Virtual Private Gateway (VPN Concentrator ubicado en AWS).





Paso 2 - Virtual Private Gateway

Notarás que el Status cambió a Attached, como se muestra en el print de abajo





Paso 3 - Conexión VPN
1.- Seleccionamos el submenú que dice VPN Connections para generar nuestra configuración VPN




Paso 3 - Conexión VPN
2.- Creamos nuestra conexión VPN.
3.- Colocamos los siguientes datos:
    Name tag: (Colocamos cualquier etiqueta con que identifiquemos nuestro túnel VPN.
    Virtual Private Gateway: Seleccionamos nuestro Virtual Private Gateway recién creado.
    Customer Gateway: Seleccionamos nuestro Customer Gateway configurado en el Paso 1.
   
    Routing Options: En rutas seleccionamos Static
    Static IP Prefixes: Colocamos el segmento de red privado que está configurado en la oficina.




4.- Después de que configuramos nuestro tunnel VPN, le damos click al boton que dice Download Configuration




Paso 3 - Conexión VPN
5. En Vendor seleccionamos Generic, y luego descargamos nuestro archivo de configuración que utilizaremos más tarde para configurar nuestro Firebox WatchGuard ubicado en la red empresarial.





Nota Adicional: toda configuración VPN que creamos siempre tiene 2 túneles VPN, para Alta Disponibilidad y Fail-Over, esto es en caso de que uno de los EndPoints este abajo debido a que amazon realiza periódicamente mantenimiento en sus VPN Concentrators, por lo que deberás configurar en el Firebox WatchGuard 2 túneles VPN para prevenir caídas de servicios en tu red híbrida (Cloud AWS y On-Premises).




Jaime Velasco.
Jefe de Infraestructura
Servicios de Proyectos y Consultoría SGSI 0526