01 Sep Todo bien hasta que han comenzado a suceder cosas raras
«He vuelto de vacaciones hace un par de días. En mi despacho, en la oficina, en mi ordenador iba todo bien hasta que han comenzado a suceder cosas raras…»
Esta frase, que ahora la relacionamos con el hilo en twitter de @manuelbartual, es algo que perfectamente nos puede pasar, a nosotros o a algunos de los usuarios de los sistemas de nuestra organización.
Pantallas y ratones que se mueven sin interacción humana, máquinas que empiezan a ir lentas de la noche a la mañana, el fondo de pantalla que cambia por un mensaje que nos indica un wallet en el que hacer un pago en bitcoins, información que antes estaba y ahora no está, que nuestra competencia saque al mercado algo demasiado parecido a lo que tantas horas habíamos estado desarrollando, son ejemplos de que algo no está yendo bien. A partir de ese momento, alguien da la voz de alarma y los informáticos de la empresa se ponen como locos. Se respira tensión y miedo… Se escuchan teclados aporreándose como si fuera una metralleta, gente que se pone «a mirar cosas», pero sin orden ni concierto, quizá se está empezando la casa por el tejado o quizá todos están mirando lo mismo, nadie tiene cuidado con lo que toca ni cómo lo abre. No hay problema,… en caso de no ser capaz de llegar a ello, llamaremos a esa empresa especializada en incidentes de seguridad y análisis forense que nos han ayudado varias veces. Es cierto que la última vez pudieron hacer poco porque ante el pánico les ordenaron reiniciar varios servidores, con la esperanza que el Poltergeist desapareciese solo…
Esto que parece una historia que propia de una película de Hollywood, en la que un ejército de ciberdelincuentes dejan de rodillas una organización, es un escenario perfectamente viable en cualquier entorno empresarial actual. Ordenadores que registran la información tecleada y la envían a otro sitio, ataques de phishing, ransomware, robo de información,… Todo esto está a la orden del día.
Los culpables habituales: Malas configuraciones, servicios desactualizados, usuarios poco concienciados ante ataques de ingeniería social, que hacen jailbreak a sus teléfonos móviles para poder instalar cualquier aplicación gratuitamente.
Estas son las causas que hacen que los componentes del Blue Team de las organizaciones tengan que reaccionar de la mejor forma posible para contener los incidentes y gestionarlos de la mejor forma posible.
¿Qué es el blue team?
Es el equipo formado por personas con altos niveles de capacitación en seguridad, que se preocupan por verificar que la seguridad de la información, es decir, los sistemas que contienen ficheros, bases de datos, aplicaciones web, servidores, cortafuegos, herramientas de seguridad, se encuentren en sus condiciones óptimas, tanto para resistir los ataques que – de seguro – van a recibir.
Si la organización no dispone de un equipo CSIRT (Computer Security Incident Response Team), es el Blue Team quien suele asumir este rol.
En esta línea, desde Securízame llevamos impartiendo formación presencial que permita a quienes han confiado en nosotros, saber cómo actuar para recuperar las evidencias existentes en sistemas Windows y Linux. Aunque el enfoque está basado en respuesta ante incidentes de seguridad, también es perfectamente válido para profesionales del peritaje informático forense, para saber extraer de la mejor forma posible las evidencias necesarias, para judicializar el caso, si fuese necesario.
Próximamente, el fin de semana del 8 y 9 de Septiembre, impartiré en la academia de Securízame un curso presencial de DFIR y análisis forense de IOS y Android en el que enseñaré cómo actuar cuando el elemento atacado ha sido un dispositivo móvil. Se verán demostraciones de cómo analizar si un dispositivo tiene algún malware, así como verificar actividad probatoria en un teléfono móvil. Comunicaciones realizadas, mensajería instantánea, navegación, y un largo etc,… tanto desde un punto de vista de análisis estático como dinámico de un dispositivo
Además, a finales de Septiembre ofreceremos una formación presencial que hemos denominado Entrenamiento práctico presencial de DFIR y Análisis Forense. Claramente enfocado a los miembros de un CSIRT o del Blue Team de una organización, propondremos un entorno real completamente comprometido, del que habrá que analizar qué ha sucedido. El equipo de Securízame propondrá a los alumnos un problema, lo que sabemos que ha sucedido en un sistema en concreto e iremos dando la información necesaria para que el alumno sea quien haga de CSI, extrayendo y analizando las evidencias hasta llegar al foco del problema. Todo se hará de forma tutelada dando el tiempo necesario al alumno y el profesor desentrañará qué fue lo que sucedió y cómo generar el ovillo completo, tirando de un pequeño hilo.
Sin duda dos excelentes alternativas impartidas por instructores que realmente nos dedicamos al mundo del peritaje informático forense y la respuesta ante incidentes de seguridad.
Si tenéis cualquier duda, podéis dejarnos un mensaje en nuestra página de contacto y os contestamos de inmediato!