Descripción del CSIRT-CEDIA

1- Sobre este documento

1.1 Última actualización

Versión 0.4, publicada el 22 de Enero del 2017.

Revisión general, ajustes en contactos y sección de objetivos, misión, propósito.

Versión 0.3, publicada el 25 de noviembre de 2016.
Revisión general y ajustes menores

Versión 0.2, publicada el 21 de Setiembre del 2016.
Revisiones varias:
– Clave GPG
– Dirección postal
– Traducciones varias al Español
– Typos

Versión 0.1, publicada el 28 de Mayo del 2014.

1.2 Lista de distribución para notificaciones

Se dispone de una lista de distribución<csirt-l@cedia.org.ec> para notificaciones de eventos de seguridad y relacionados, a través de la cual además se intercambian experiencias, criterios e información sobre seguridad informática. Los miembros de la lista deben suscribirse y estarán sujetos a un proceso de aprobación previo. Esta lista es moderada.

  • Las notificaciones de actualizaciones de este documento serán enviadas a nuestra lista de correos.
  • Las solicitudes de suscripción deben ser enviadas a <csirt-l-admin@cedia.org.ec>, el cuerpo del mensaje debe contener la palabra Subscribe.
  • Para ayuda sobre el uso de las listas, envíe la palabra Help al email de la lista.

1.3 Lugares dónde este documento puede ser encontrado

La versión actualizada de esta descripción del CSIRT puede ser obtenida via web en https://csirt.cedia.org.ec/?page_id=123

Asegúrese de estar utilizando la última versión.

2- Información de contacto

2.1 Nombre del equipo

El equipo responde al nombre oficial de CSIRT-CEDIA, o: Centro de Respuesta a Incidentes Informáticos del Consorcio Ecuatoriano para el Desarrollo de Internet Avanzado.

2.2 Dirección postal

CSIRT-CEDIA
Calle La Condamine 12-109 «Casa Rivera»
Cuenca, Azuay
Ecuador

2.3 Zona horaria

America/Guayaquil (GMT-0500)

2.4 Teléfono

+593 7 404 5013

+593 9 9924 6504

2.5 Fax

No disponible

2.6 Otros medios de comunicación

Twitter: @CsirtCEDIA

Telegram, Whatsapp

2.7 Dirección electrónica

Nuestra dirección oficial es <csirt@cedia.org.ec>, que es revisada y atendida por alguno de los miembros del equipo.

2.8 Claves públicas

CSIRT-CEDIA tiene la clave PGP cuyo KeyID es: 0x93868028
Fingerprint: FEF8 CAB2 8192 8B75 6555 9945 82F3 4706 9386 8028

Esta clave y firma pueden ser encontradas en servidores de claves públicos y puede ser utilizada para enviarnos mails confidenciales a csirt@cedia.org.ec

2.9 Miembros del equipo

Ernesto Pérez Estévez, director, coordinador, supervisor y contacto del CSIRT-CEDIA.
Paul Bernal Barzallo, apoyo al CSIRT-CEDIA

Claudio Chacón, contacto con provedores y miembros

Javier Crespo, contacto con provedores y miembros

2.10 Otra información

Información general sobre el CSIRT-CEDIA puede se encontrada en http://csirt.cedia.org.ec

2.11 Formas de contacto

El método preferido de contacto es vía correo electrónico: csirt@cedia.org.ec ; los emails enviados a esta dirección llegarán a los responsables del CSIRT-CEDIA de forma inmediata. Si usted requeire de asistencia urgente escriba «urgente» en el asunto del correo.

Si no es posible o no es recomendable utilizar el correo electrónico, el CSIRT-CEDIA puede ser alcanzado via teléfono durante la jornada laboral.

Las horas de operación del CSIRT-CEDIA son de Lunes a Viernes de 8AM a 6PM.

De ser posible, cuando vaya a enviar un reporte, utilice el formulario descrito en el punto 6.

3. Charter

3.1 Propósito y misión

Propósito

El propósito del CSIRT-CEDIA es:

  1. Apoyar a los miembros de la comunidad del CEDIA a implementar medidas proactivas con el objetivo de reducir los riesgos de incidentes de seguridad informáticos
  2. Apoyar a la comunidad del CEDIA a responder a estos incidentes cuando ocurran.
  3. Ser punto de contacto con equipos de respuesta a incidentes nacionales e internacionales para conocer y apoyar en la resolución de incidentes de seguridad
  4. Implementar nuevas técnicas y tecnologías de seguridad en redes de IES miembros para mejorar el nivel de detección de potenciales incidentes o eventos.

Misión

Apoyar a las instituciones miembros del CEDIA en la solución y/o mitigación de incidentes de seguridad reportados; realizando labores de coordinación, capacitación y apoyo presencial o remoto para la solución de estos.

3.2 Miembros

Los miembros del CSIRT-CEDIA son todas las instituciones miembro del CEDIA.

El servicio se ofrecerá a redes parte del CEDIA.

3.3 Auspicios y afiliaciones

El CSIRT-CEDIA está auspiciada por el Consorcio Ecuatoriano para el Desarrollo de Internet Avanzado (CEDIA).  El CSIRT-CEDIA está afilido a instituciones alrededor del mundo con la finalidad de colaborar y apoyar en la respuesta a incidentes de seguridad informáticos.

3.4 Autoridad

El CSIRT-CEDIA opera bajo el auspicio y es delegado por el Director General del CEDIA. Para información adicional sobre la autoridad del CSIRT-CEDIA, contactar al departamento legal o al director del CEDIA.

El CSIRT-CEDIA intenta cooperar con los administradores de sistema y usuarios del CEDIA y, dentro de lo posible, evitar relaciones de autoridad o formación de cadenas de ordeno y mando. Sin embargo en caso de ameritar la situación, CSIRT-CEDIA buscará que las autoridades de las redes ejerzan su autoridad de forma directa o indirecta.

Los miembros de la comunidad del CEDIA que requieran apelar las acciones del CSIRT-CEDIA pueden contactar al Director del CEDIA, o al coordinador de la red.

4. Políticas

4.1 Tipos de incidentes y niveles de soporte

CSIRT-CEDIA se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las redes del CSIRT-CEDIA.

Los niveles de soporte del CSIRT-CEDIA variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT-CEDIA en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de un día laborable.  Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:

– Amenazas a la seguridad física de seres humanos
– Ataques a Sistemas de manejo de información o cualquier parte de la infraestructura de red del backbone
– Ataques a cualquier gran equipo de servicio público, sea multiusuario o con propósito dedicado.
– Compromiso de información en cuentas restringidas confidenciales o instalaciones de software, en particular aquellas usadas para sistemas de administración que contengan información confidencial, o aquellos usuarios para administración del sistema.
– Ataques de negación de servicio sobre cualquiera de los 3 puntos anteriores.
– Cualquiera de los anteriores atques originados desde el CEDIA.
– Ataques en gran escala de cualquier tipo.
– Amenazas, acoso y cualquier otra ofensa criminal en el que estén involucradas cuentas de usuario.
– Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
– Compromiso de sistemas de escritorio.
– Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
– Negación de servicio en cuentas de usuario individuales.

Los incidentes no descritos anteriormente serán priorizados de acuerto a la percepción de severidad y alcance de estos.

Tenga en cuenta que no se dará soporte directo a usuarios finales; se espera que ellos obtengan soporte de su administrador del sistema, de red, o de departamento técnico local. El CSIRT-CEDIA le da soporte a ellos.

CSIRT-CEDIA comprende que existen diferencias en las experiencias que el personal de administración de las redes del CEDIA tienen y mientras el CSIRT-CEDIA tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT-CEDIA no puede entrenar a los administradores al vuelo y no puede realizar labores de mantenimiento en su nombre. En la mayoría de los casos el CSIRT-CEDIA proveerá indicaciones a información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT-CEDIA busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.

4.2 Cooperación, Interaccion y publicación de información

Además de restricciones legales y éticas sobre el flujo de información del CSIRT-CEDIA, reconocemos la intención de contribuir al espiritu de cooperación que se ha creado en Internet. Por tanto, mientas se toman las medidas apropiadas para proteger la identidad de los usuarios miembros del CEDIA y otros usaurios, el CSIRT-CEDIA compartirá la información con la finalidad de apoyar a otras redes a resolver o prevenir incidentes de seguridad.

Con esto nos referimos a usuarios legítimos, operadores y usuarios de redes.

Cualquier información que pueda ser considerada para ser publicada será clasificada de la siguiente forma:

– Información de un usuario privado: es información sobre un usuario particular, o en algunos casos, aplicaciones particulares, que puedan ser consideradas confidenciales con fines legales, contractuales y/o razones éticas.

La información de usuarios privados no será publicada en formato identificable fuera del CSIRT-CEDIA. La identidad del usuario será modificada para que no pueda se identificada Por ejemplo para mostrar un archivo .bashrc modificado por un intruso, o para mostrar un ataque particular de ingeniería social.

– La información sobre el intruso es similar a la información de un usuario privado

Mientras la información de un intruso, y en particular información que le pueda identificar, no será publicada (excepto que sea requerido por cuestiones judiciales o legales) esta sí será compartida con administradores de sistemas y sistemas de manejo de incidentes de los CSIRTs conque existan relaciones.

– Información privada de un sitio: esta es información técnica sobre sistemas en particulares o sitios.

Esta no será publicada sin el permiso del sitio en cuestión.

– Información sobre la vulnerabilidad: es información técnica sobre ataques o vulnerabilidades, incluídas arreglos o mitigaciones.

Esta información será publicada libremente, aunque se hará todo esfuerzo posible por comunicar al fabricante a cargo antes de hacerle pública en internet.

– Información que puede causar vergüenza: es aquella que pueda hacer ver que un incidente ha ocurrido e información sobre su extensión o severidad. Esta información puede preocupar a un sitio o usaurio particular o grupos de usuarios.

Esta información no será publicada sin permiso del sitio o usuarios en cuestión.

– Información estadística con información de identificación eliminada.

Esta informción será publicada de ser requerido por el CSIRT-CEDIA.

– Información de contacto que explica cómo alcanzar a administradores del sistema y CSIRTs.

Será publicada libremente, excepto cuando la persona de contacto o entidad hayan solicidado que no sea el caso, o cuando el CSIRT-CEDIA tenga razones para creer que la diseminación de esta información puede no ser deseada.

Los receptores de información potenciales del CSIRT-CEDIA serán clasificados de la siguiente forma:

– Por la naturaleza de sus responsabilidades y razones de confidencialidad, los miembros de las redes miembros del CEDIA recibirán cualquier información sea necesaria para facilitar el manejo de incidentes de seguridad informática que ocurran en sus jurisdicciones.

– Director del CEDIA podrá recibir cualquier información soliciten respecto a incidentes de seguridad o asuntos relacionados que hayan sido enviados a ellos para su solución. Lo mismo aplica para el directorio del CEDIA cuando su asistencia sea necesaria para solucionar quejas, reclamos o problemas presentados.

– Los administradores de las redes miembros del CEDIA recibirán solamente información necesaria para solucionar problemas que se presenten durante la investigación de un incidente o para asegurar sus redes, servidores y sistemas.

– Los usuarios de las redes miembro del CEDIA recibirán información relacionada con sus propias cuentas de computadora aún cuando esto significa revelar información sobre el intruso, o información vergonzoza sobre otro usaurio. Por ejemplo si la cuenta aaaa es crackeada y el intruso ataque la cuenta bbbb, el usuario bbbb tiene derecho a conocer que aaaa fue crackeada y cómo el ataque sobre su cuenta bbbb fue ejecutado. El usuario bbbb además podrá conocer, si lo solicita, información sobre la cuenta aaaa que le permita investigar el ataque. Por ejemplo si bbbb fue atacado por alguien remotamente conectado a aaaa, bbbb debe poder conocer el origen de las conexiones a aaaa aún cuando esta información podría ser considerada privada por aaaa. Los usuarios de las redes miembros del CEDIA deben poder conocer si sus cuentas han sido comprometidas.

– La comunidad de CEDIA recibirá información no restringida, excepto cuando las partes afectadas hayan dado permiso para que la información pueda ser diseminada. Información estadística puede ser publicada al público en general. No existe obligación de parte del CSIRT-CEDIA de reportar incidentes a la comunidad, aunque puede optar por así hacerlo; en particulpar es posible que el CSIRT-CEDIA informe a las partes afectadas de las formas en que ellos fueron afectados o intente motivar al sitio afectado a así hacerlo.

– El público en general recibirá información no restringida. De hecho no se hará esfuerzo en particular para comunicarse con el público en general, aunque el CSIRT-CEDIA reconoce que a todos los efectos y propósitos, la información disponible en la comunidad del CEDIA está en efecto disponible para el público en general y por tanto estará publicada de forma tal que tenga en cuenta esto.

– La comunidad de seguridad informática será tratada de la misma forma que el público en general es tratado. Mientras miembros del CSIRT-CEDIA podrán participar en discusiones dentro de la comunidad de seguridad informática, tales como forums, litas de correos, conferencias, talleres, ellos tratarán estos foros como sitios donde existe público en general. Mientras problemas técnicos (incluídas vulnerabilidades) pueden ser discutidos en cualquier nivel de detalle, ejemplos tomados del CSIRT-CEDIA serán modificados para no publicar información del usuario o sitios afectados.

– La prensa será considerada igualmente parte del público en general. El CSIRT-CEDIA no interactuará directamente con la prensa respecto a respuesta a incidentes, excepto para mostrarles información que ya ha sido publicada al público en general. De ser necesario, se referirán al departamento de relaciones públicas del CEDIA. Todas las preguntas relacionadas con incidentes serán referidas a este departamento. Lo anterior no afecta la capacidad de los miembros del CSIRT-CEDIA para ofrecer entrevistas en tópicos de seguridad generales; de hecho se sugiere así se haga como un servicio a la comunidad.

– Otros sitios y CSIRTs, cuando están involucrados en la investigación de incidentes de seguridad, podrán ser provistos con información confidencial. Esto solamente ocurrirá si se puede verificar que el otro sitio actúa de buena fe y que la información transmitida será limitada a aquella necesaria para ayudar a resolver un incidente.

Para propósitos de resolver incidentes de seguridad, información semi-privada o información inocua sobre el usuario tales como origen de conexiones no serán consideradas información altamente sensitiva, y podrá ser enviada a un sitio remoto sin requerirse de demasiadas precauciones. Información sobre los intrusos serán transmitidas libremente a otros administradores de sistemas o CSIRTs. Información vergonzoza podrá ser transmitida si existe convencimiento de que permanecerá confidencial y que es necesaria para resolver un incidente.

– Fabricantes serán considerados como CSIRTs remotos para la mayoría de los contactos. El CSIRT-CEDIA desea apoyar a los fabricantes de todo tipo de equipamiento de red y computación, software y servicios a mejorar la seguridad en sus productos. Con esta finalidad, una vulnerabilidad descubierta en algún producto será reportada a su fabricante, así como los detalles técnicos necesarios para identificar y arreglar el problema. Detalles que permitan identificar al usuario no serán provistas al vendedor sin el permiso previo del usuario.

– Personal de entes de justicia o policiales recibirán total cooperación del CSIRT-CEDIA, incluída cualquier información que requieran por ley para realizar sus investigaciones de acuerdo con la contitución y las leyes.

4.3 Comunicación y autenticación

Puesto que se pueden utilizar varios medios para el intercambio de información con el CSIRT-CEDIA, los teléfonos serán considerados suficientemente seguros para ser usados de forma no encriptada. Emails no encriptados no serán considerados suficientemente seguros pero serán adecuados para la transmisión de información poco sensitiva. De ser necesario enviar información sensitiva se sugiere el uso de PGP para encriptar la información.

Transferencias a través de la red debe ser consideradas de la misma forma que el email, estas deben ser encriptadas en caso de ser sensitivas.

Cuando sea necesario establecer una relación de confianza, por ejemplo antes de enviar información dada al CSIRT-CEDIA, o antes de publicar información confidencial, la identidad y buena fe de la otra parte debe ser asegurada a un cierto nivel de confianza. Dentro de CEDIA y con sitios de seguridad vecinos, referencias de personas confiables será suficiente para identificar a un tercero.

Otros métidos apropiados serán usados, como búsqueda en de miembros del FIRST, el uso de WHOIS y otra información de registro de información, etc, además de uso de llamadas telefónicas y correo electrónico para asegurarnos que la contraparte no es un impostor. Emails entrantes cuyos datos deben se confiables serán revisados con el emisor de estos de forma personal o por medio del uso de firmas digitales.

5. Servicios

5.1 Respuesta a incidentes

CSIRT CEDIA apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:

Servicios Reactivos:

  • Alertas y avisos
  • Manejo de Incidentes
    • Análisis de Incidentes
    • Respuesta a incidentes in-situ
    • Apoyo en respuesta a incidentes
    • Coordinación en respuesta a incidentes
  • Manejo de vulnerabilidades

Servicios Proactivos:

  • Vigilancia Tecnológica
  • Auditorías o evaluaciones de seguridad
  • Configuración y mantenimiento de Herramientas de Seguridad, Aplicaciones e Infraestructuras
  • Desarrollo de Herramientas de Seguridad
  • Servicios de Detección de Intrusos
  • Diseminación de Información relacionada con la Seguridad

Servicios de Gestión de la Calidad:

  • Consultorías de Seguridad
  • Concienciación sobre seguridad
  • Educación y entrenamiento en seguridad

5.1.1 Investigación inicial de incidentes

– Investigar si en efecto un incidente ha ocurrido.
– Determinar el alcance del incidente.

5.1.2 Coordinación de incidentes

– Determinar la causa inicial del incidente (vulnerabilidad explotada).
– Facilitar contacto con otros sitios que pueden haber estado involucrados.
– Facilitar contacto con departamentos de seguridad de miembros del CEDIA y/o entidades a cargo del manejo de investigaciones judiciales y legales.
– Crear reportes para otros CSIRTs.
– Preparar anuncios a usuarios, si aplicara.

5.1.3 Resolución de incidentes

– Eliminar la vulnerabilidad
– Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
– Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en prograso, plantando trampas al intruso, etc.
– Recolectar evidencia cuando se comtemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.

Además, CSIRT-CEDIA recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CEDIA, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.

Para hacer uso de los servicios de respuesta a incidentes de CSIRT-CEDIA por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.

5.2 Actividades proactivas

CSIRT-CEDIA coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:
– Servicios de información
– Lista de contactos de seguridad de instituciones miembros del CEDIA. Esta información puede ser consultada via correo electrónico a la dirección indicada en el punto 2.1
– Listas de correo para informar a los contactos de instituciones miembro de información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro del CEDIA.
– Repositorio con actualizaciones de fabricantes que permitan la distribución local de sus actualizaciones. Este repositorio estará disponible al público siempre que las restricciones del fabricante le permitan. Y será provisto utilizando http, ftp y/o rsync.
– Repositorio de documentación para ser usada por administradores de sistemas.
– Servicio de resúmenes de noticias de diversos sitiso de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensitividad de la información y urgencia.
– Servicios de entrenamiento.
– Los miembros del CSIRT-CEDIA dictarán seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro del CEDIA.
– Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada
– Servicios de almacenamiento
– Servicio de alojamiento de históricos para máquinas que sean capaces de enviar eventos estilo syslog/rsyslog. Estos logs podrían ser revisados por sistemas de análisis de logs, eventos o tendencias, con la finalidad de detectar y reportar al administrador del sistema infectado de potenciales eventos de seguridad.
– Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad del CEDIA.

Descripciones detalladas de los servicios aquí indicados, además de intrucciones para unirse a listas de correo, descargas o participando en servicios como manejo centralizado de logs, estarán disponibles en el sitio web del CSIRT-CEDIA de acuerdo a la sección 2.10 arriba indicada.

6. Formularios de reportes de incidentes

Utilizar el formulario de reporte de incidentes que aparece en la primera página, columna derecha del sitio web del CSIRT-CEDIA.

Se está creando un formulario más detallado basándonos en el formulario del CERT.org https://www.us-cert.gov/forms/report

7. Aviso legal

Mientras se han tomado todas las precauciones en la preparación de información, notificaciones y alertas, el CSIRT-CEDIA no asume responsabilidad por errores, omisiones o daños resultantes de la información aquí contenida.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.