Anecdotas de Seguridad en la Red Interagencial - 2013

Andrés ColónDirectorTecnología de Información CentralOficina de Gerencia y Presupuesto

“El internet se ha convertido en el espacio público del siglo 21” – Joe Bidden, VP EEUU

PR.Gov

• Ultimos 30 dias: • Medio millón de visitantes• 2 Millones de páginas vistas

• Servicios • Gobierno a Gobierno• Gobierno a Ciudadano• Gobierno a Negocio

Portales de Gobierno

Un Blanco de Ataque:– Para realizar protestas– Llevar mensajes de oposición– Para robo de información • Cometer fraude• Inteligencia

ATAQUE DE NEGACIÓN DE SERVICIOS 2013

Receinte ataque de Anonyous – mayo 2013

¿Desobediencia Civil del Siglo 21?

Pre-ataque• 3 Legiones– Puerto Rico– Chiapas – America Latina

Pre-ataque• Call to Arms:– Twitter followers – Facebook followers– IRC– YouTube

Defensa Preventiva

• Monitoreo de Tráfico• Bandwidth+• Intrusion Detection• Filesystem monitoring• Monitoring Anonymous• Information Sharing

Mientras tanto….

Logramos un Proyecto Piloto de Fire-Eye,para la detección de Advanced Persistent Threats en la Red Interagencial.

…visibilidad al fin

Advanced Persistent Threat

• Malware Aftermath– Malware en agencias con

tráfico malicioso– Miles de hits y callbacks– 317 comunicaciones a

destinatinos conocidos (C&C)

– Geo-Location: China, Russia, Alemania, Korea, US, etc.

Advanced Persistent Threat

Blocking Mode

Success

• Silencio al fin: Zero comunicación con los C&Cs!

• Infecciones de HTTP controladas• Cambió de fecha inmediata, de

junio 1 a mayo 23• Discordia entre las legiones• Incremento de intentos de

ataques mediante email

DDoS a Fortaleza.pr.gov (mayo 2013)

• Ataque de 150+ Mbps• Tor• IP de Facebook (Spoofed)• Otros Hosts• Trafico lock-down• Servicios arriba para PR US

DDoS

Lecciones Aprendidas• Aún con previo aviso, la fecha establecida, no está escrito en piedra• Pudimos mitigar con los recursos existentes, garantizando las

operaciones del Gobierno Puerto Rico • Layered Security

– Hubo ataques que penetraban algunas capas de seguridad – Diversas Capas son importantes para detener efectivamente el ataque

• Para mitigar bien un DDoS se requiere, entre otros:– Monitoreo continuo – Intercambio de información– Buenos recursos: tecnológicos y de personal– Buena coordinación y preparación– Requiriere acción rápida de las partes envuelta

ATAQUES DE INGIENERIA SOCIAL 2013

Receinte ataque a jefes de agencia, fortaleza, municipios y UPR - 2013

Ingeniería Social

• ¿Qué es ingeniería social?• ¿Por qué atacaron al gobierno?

Ataque a Jefes de Agencias

VISIÓN Y ESTRATEGIASPlanes que se están contemplando para mejorar la seguridad

Visión

Un Gobierno:• más seguro para atender ataques y riesgos

cibernéticos• abierto, transparente• más democrático

Estrategias• Abrir el código para escrutinio (ie: github)• Programa de Recompensas de identificación de

vulnerabilidades• Incorporar componentes de educación e introducción a la

seguridad informática (Ingeniería Social, y personal de IT con Ethical Hacking, Risk Assesment, Cyber Forensics, etc.)

• Establecer y continuamente revisar Políticas de Cumplimiento• Incorporar grupos de trabajos para atender retos de seguridad

informática a nivel gubernamental• Promover que se incorpore personal especializado en

seguridad en las áreas de IT

Tendencias

• Aumento significativo en los servicio en línea del gobierno– Código requiere ecrutinio y pruebas– Mucho SQL Injection y XSS– Configuración Segura

• Instrumentalidades del gobierno con lineas alternas, no están protegidas por los mecanismos de la red interagencial

• Sweeps y ataques de Russia y China incrementando

CONSEJOS DE INTEROPERABILIDAD

Cyber-Security Council

Information Security Team

Consejo de Seguridad

• Establecer Plan Estratégico de Seguridad Informática

• Continuar proyecto con MS-ISAC• Establecer Guias• Evaluar Auditorias del Contralor• Responder a incidentes• Recomendar y Asesorar• Organizar eventos

Tips• Si les interesa InfoSec, aproveche:

– Init6– Bsides– DefCon– MS-ISAC– Blackhat

• Algunos Recursos:– reddit.com/r/netsec– Darkreading.com

• Cyber Security Awareness – Octubre• Si interesa organizar alguna charla para un Tech Talk, adelante!

¿PREGUNTAS?¿Sugerencias?

Gracias!

github.com/mindwarecio.pr.gov

acolon@ogp.pr.gov