Aunque no voy a poder seguir todo el evento de dos días, sí que estoy organizándome para poder asistir a algunas del viernes. El resumen de algunas de ellas, está aquí.
NIDS for malware hunting and classification
Tatyana Shishkova trabaja en Laspersky en el equipo de Android.
Nos va a hablar sobre NIDS – Ntwork Intrusion Detection System. Este sistema básicamente lo que hace es monitorizar entrada y salida de tráfico, analizando los datos mediante una serie de reglas, identificando los ataques.
¿Qué se puede encontrar en un NIDS?
- Intentos de ataque
- Ataques DoS
- Actividad de malware o bots
- Intentos de phishing
- Minería de cripotomonedas
La forma habitual de usarse suele ser la de analizar el tráfico en tiempo real, además de hacerlo en modo sandbox con descargas de ficheros de datos y analizarlos posteriormente.
El sistema puede funcionar basado en sistemas de firmas o con anomalías. El primer caso sobre todo funciona con elementos ya detectados y conocidos y el segundo para comportamientos desconocidmos.
Los más conocidos son SNORT, creado en 1998 y ahora propiedad de Cisco. Otro es Suricata, compatible con Snort y con multi-thread. Otro es Zeek que monitoriza el tráfico de red y funciona con firmas y anomalías.
¿Desde dónde se consiguen las reglas? Hay feeds gratuitos y libres, de pago y soluciones con reglas integradas, además de poder crear tus propias reglas.
La mayoría de los sistemas de ataques se basan en la forma que se tiene de enviar la información hacia servidores externos basándose en una serie de parámetros muy claros.
Los NIDS tienen ciertas limitaciones. Por ejemplo, pueden producir falsos positivos y suele ser fácil saltarse las reglas. Además, no todo el tráfico encriptado es fácilmente detectable. Además, las reglas con expresiones reglares pueden ser poco óptimas. Es importante probar las reglas en grandes cantidades de tráfico correcto para verificar y validar los falsos positivos.
En resumen, NIDS son herramientas muy potentes, no sólo para encontrar problemas, sino para clasificarlas. Se deberían actualizar las reglas de forma frecuente y combinando reglas gratuitas y de pago, siempre teniendo en cuenta que no se puede confiar en una única herramienta.
LOPDGDD, un fracaso en marcha
Josep Jover y Laura Mora van a explicar la actualización e la LOPD a la LOPDGDD (descargable en PDF).
Hemos pasado la época de la protección de datos, en donde mucha gente ha sido embajador del alarmismo, a una distinta en la que se centra en el RGPD sin que mucha gente sepa que también se puede revisar en el Código Penal.
Por lo tanto, es muy interesante saber que el RGPD se sabe ya cómo funciona, pero no de “la otra protección de datos”.
Ahora se ha lanzado la ley de “la patada en la puerta”, algo que ya se hacía, pero de forma discrecional, y ahora se ha puesto sobre la mesa.
Ahora tenemos los “Compliance” que son los requisitos mínimos que han de estar auditados, la mitad de los cuales son requisitos tecnológicos. Ahora ya no sólo se pide que se esté al día de la protección de datos, sino también que se cumpla la normativa penal.
En los artículos 197-201 del Código Penal tenemos algunos detalles importantes. También en el Código Penal, los Daños en el artículo 263-264-267. También en Delitos de Terrorismo artículo 580.
Deja una respuesta