Fecha de publicación: 07 enero 2019
Fecha de modificación: 07 enero 2019
Alcance
CSIRT Panamá busca incentivar a las diversas entidades gubernamentales, no gubernamentales y bancarias a estar preparadas al evento de la Jornada Mundial de la Juventud (JMJ), el cual se llevará a cabo en diversas áreas de Panamá desde el martes 22 de enero de 2019 hasta el domingo 27 de enero de 2019.
Justificación
Es importante tener preparado un plan de contingencia previo a un evento nacional para mitigar algún posible incidente informático y restaurar algún servicio caído en el menor tiempo posible, permitiendo ofrecer un mayor tiempo de disponibilidad para el usuario final. Los intentos de ataques web ocurren con frecuencia, pero lo importante es poder mitigar y responder en el menor tiempo posible, entendiendo lo ocurrido para futuras referencias.
Aunque la Conferencia estadounidense de obispos católicos (USCCB) aclara que no tiene conocimiento de amenaza directa hacia el evento de la Jornada Mundial de la Juventud (JMJ), es importante estar preparado con planes de respuesta alternativos en caso de ocurrir algún incidente o evento informático.
Posibles escenarios informáticos
- Alguna página web o cajeros automáticos (ATM) no se encuentran disponibles.
- Alguna página web presenta contenido alterado no autorizado por la entidad administradora (desfiguración web).
- Algún sistema de trámites web o financiero presenta alteración de base de datos.
Para mayor información, revisar “Referencia a soluciones, herramientas e información”.
Impacto en caso de materializarse un ataque informático.
- La modificación no autorizada de contenido en sitio web representaría una pérdida de la reputación y/o de confianza de la institución o entidad afectada.
- La alteración de información contenida en bases de datos representaría pérdida financiera en el caso de los bancos y de entidades que manejen trámites de impuestos.
- La divulgación de información sensible y/o confidencial de ciudadanos panameños impactaría en la reputación de la institución afectada y los ciudadanos podrían ser víctimas de robo de identidad.
Recomendaciones
• Definir mediante un breve y detallado plan, el procedimiento a seguir en caso de presentarse un incidente informático y cómo diferenciar un incidente informático de un evento informático. En este plan se debe especificar los grupos de personas que están involucrados con respecto a un sistema o servidor (equipo de redes, equipo de proveedor de servicio de Internet, equipo de administradores y desarrolladores, equipo de protección web, entre otros).
• En el caso de la falta de disponibilidad de una página web, es importante determinar el origen de la denegación de servicio, para esto se deben revisar los registros del tráfico en tiempo real constatando la existencia de un alto tráfico no esperado. Si no existe evidencia de un alto tráfico hacia el servidor podría tratarse de una denegación de servicio por algún servicio deshabilitado, por lo que el administrador debe revisar que los servicios web necesarios para el servidor se encuentren activos, por ejemplo, el servicio httpd/apache2 para un servidor Apache, servicio de base de datos apagado, cambio de credenciales en base de datos que impida conexión con el sistema web. La denegación de servicio también podría deberse a la no disponibilidad de la red o a un tipo de infección que afecte archivos de configuración de un sistema, como es el caso de cifrado de archivos por un Ransomware; por estas razones es importante que la entidad tenga preparada los contactos de las personas involucradas en el sistema para obtener una oportuna atención en caso de no estar disponible un servicio.
• Mantener respaldos fuera de línea recientes de base de datos y código de página web, para permitir restaurar sistemas en caso de pérdida de información o fallo. Mantener los respaldos fuera del Internet y de redes disminuye la probabilidad de verse afectada la integridad de los datos debido a alteraciones por infección de Ransomware o de intrusión de usuario.
• Implementar balanceo de cargas (se requiere configuración replicante desde dos servidores en adelante) para permitir un mejor manejo de la carga web y como respaldo en caso de fallo de uno de los servidores. En caso de no poder optar por una configuración de balanceo de cargas se recomienda que se configure un servidor réplica al ambiente de producción listo para ser utilizado si la situación lo amerita.
• Implementar protección contra denegación de servicios para garantizar la disponibilidad del mismo, esto se logra mediante el uso de determinados cortafuegos (como por ejemplo los WAF) o a través del servicio de protección contra denegación de servicio que debe ofrecer el proveedor de servicio de Internet.
• Implementar protección por geolocalización según aplique, para permitir peticiones solo de los países que requieran realizar trámites.
• Implementar protección contra ataques web comunes (OWASP Top 10), para evitar y mitigar la inyección y ejecución de código, edición no autorizada de archivos y directorios.
Referencia a soluciones, herramientas e información
a. https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
b. https://www.owasp.org/index.php/Denial_of_Service
c. https://tools.ietf.org/html/bcp38
d. https://www.owasp.org/index.php/SQL_Injection
e. https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
f. https://www.owasp.org/index.php/Category:Injection
g. https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
h. http://www.usccb.org/about/world-youth-day/safety.cfm
i. https://www.nomoreransom.org
j. https://id-ransomware.malwarehunterteam.com
Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: https://cert.pa