Información General

1. Última actualización

Versión 0.4, publicada el 22 de enero del 2017
Revisión general, ajustes en contactos y sección de objetivos, misión, propósito.
Versión 0.3, publicada el 25 de noviembre de 2016.
Revisión general y ajustes menores
Versión 0.2, publicada el 21 de Setiembre del 2016.

2. Revisiones varias:

  •  Clave GPG
  •  Dirección postal
  •  Traducciones varias al español
  •  Typos

Versión 0.1, publicada el 28 de mayo del 2014.

Asegúrese de tener la última versión.

3. Lista de distribución para notificaciones

Se dispone de una lista moderada de distribución <csirt-l@cedia.org.ec> para notificaciones de eventos de seguridad y relacionados, donde además se intercambian experiencias, criterios e información sobre seguridad informática. Las notificaciones de actualizaciones de este documento serán enviadas a nuestra lista de correos.

Los miembros de la lista deben suscribirse y estarán sujetos a un proceso de aprobación previo. Las solicitudes de suscripción deben ser enviadas a <csirt-l-admin@cedia.org.ec> y el cuerpo del mensaje debe contener la palabra Subscribe.

Para ayuda sobre el uso de las listas, envíe la palabra Help al email de la lista.

4. Ubicación del documento

Título anterior: Lugares dónde este documento puede ser encontrado

La versión actualizada de esta descripción del CSIRT puede ser obtenida aquí.

5. Políticas

5.1. Tipos de incidentes y niveles de soporte

CSIRT-CEDIA se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las redes del CSIRT-CEDIA.

Los niveles de soporte del CSIRT-CEDIA variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT-CEDIA en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de un día laborable.  Los recursos serán asignados de acuerdo con las siguientes prioridades listadas en orden decreciente:

  • Amenazas a la seguridad física de seres humanos
  • Ataques a Sistemas de manejo de información o cualquier parte de la infraestructura de red del backbone
  • Ataques a cualquier gran equipo de servicio público, sea multiusuario o con propósito dedicado.
  • Compromiso de información en cuentas restringidas confidenciales o instalaciones de software, en particular aquellas usadas para sistemas de administración que contengan información confidencial, o aquellos usuarios para administración del sistema.
  • Ataques de negación de servicio sobre cualquiera de los 3 puntos anteriores.
  • Cualquiera de los anteriores ataques originados desde el CEDIA.
  • Ataques en gran escala de cualquier tipo.
  • Amenazas, acoso y cualquier otra ofensa criminal en el que estén involucradas cuentas de usuario.
  • Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
  • Compromiso de sistemas de escritorio.
  • Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
  • Negación de servicio en cuentas de usuario individuales.

Los incidentes no descritos anteriormente serán priorizados de acuerdo con la percepción de severidad y alcance de estos.

Tenga en cuenta que no se dará soporte directo a usuarios finales; se espera que ellos obtengan soporte de su administrador del sistema, de red, o de departamento técnico local. El CSIRT-CEDIA les da soporte a ellos.

CSIRT-CEDIA comprende que existen diferencias en las experiencias que tienen el personal de administración de las redes del CEDIA y mientras el CSIRT-CEDIA tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT-CEDIA no puede entrenar a los administradores al vuelo y no puede realizar labores de mantenimiento en su nombre. En la mayoría de los casos el CSIRT-CEDIA proveerá indicaciones a información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT-CEDIA busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y, dentro de lo posible, informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.

5.2.  Cooperación, Interacción y publicación de información

Además de restricciones legales y éticas sobre el flujo de información del CSIRT-CEDIA, reconocemos la intención de contribuir al espíritu de cooperación que se ha creado en Internet. Por tanto, mientas se toman las medidas apropiadas para proteger la identidad de los usuarios miembros del CEDIA y otros usuarios. El CSIRT-CEDIA compartirá la información con la finalidad de apoyar a otras redes a resolver o prevenir incidentes de seguridad. Con esto nos referimos a usuarios legítimos, operadores y usuarios de redes.

Cualquier información que pueda ser considerada para ser publicada será clasificada de la siguiente forma:

  • Información de un usuario privado: es información sobre un usuario particular, o en algunos casos, aplicaciones particulares, que puedan ser consideradas confidenciales con fines legales, contractuales y/o razones éticas.

La información de usuarios privados no será publicada en formato identificable fuera del CSIRT-CEDIA. La identidad del usuario será modificada para que no pueda ser identificada. Por ejemplo para mostrar un archivo .bashrc modificado por un intruso, o para mostrar un ataque particular de ingeniería social.

  • La información sobre el intruso es similar a la información de un usuario privado por lo que no se mostrará información con la que se le pueda identificar.

Si la información de un intruso es requerida por cuestiones judiciales o legales, esta sí será compartida con administradores de sistemas y sistemas de manejo de incidentes de los CSIRTs con que existan relaciones.

  • Información privada de un sitio.

La información técnica sobre sistemas en particulares o sitios no será publicada sin el permiso del sitio en cuestión.

  • Información sobre la vulnerabilidad: es información técnica sobre ataques o vulnerabilidades, incluidas arreglos o mitigaciones.

Esta información será publicada libremente, aunque se hará todo el esfuerzo posible por comunicar al fabricante a cargo antes de hacerle pública en internet.

  • Información que puede causar vergüenza: es aquella que pueda hacer ver que un incidente ha ocurrido e información sobre su extensión o severidad. Esta información puede preocupar a un sitio o usuario particular o grupos de usuarios.

Esta información no será publicada sin permiso del sitio o usuarios en cuestión.

  • Información estadística con información de identificación eliminada.

Esta información será publicada de ser requerido por el CSIRT-CEDIA.

  • Información de contacto que explica cómo alcanzar a administradores del sistema y CSIRTs.

Será publicada libremente, excepto cuando la persona de contacto o entidad hayan solicitado que no sea el caso, o cuando el CSIRT-CEDIA tenga razones para creer que la diseminación de esta información puede no ser deseada.

Los receptores de información potenciales del CSIRT-CEDIA serán clasificados de la siguiente forma:

  • Por la naturaleza de sus responsabilidades y razones de confidencialidad, los miembros de las redes miembros del CEDIA recibirán cualquier información sea necesaria para facilitar el manejo de incidentes de seguridad informática que ocurran en sus jurisdicciones.
  • El Director del CEDIA podrá recibir cualquier información que soliciten respecto a incidentes de seguridad o asuntos relacionados que hayan sido enviados a ellos para su solución. Lo mismo aplica para el directorio del CEDIA cuando su asistencia sea necesaria para solucionar quejas, reclamos o problemas presentados.
  • Los administradores de las redes miembros del CEDIA recibirán solamente información necesaria para solucionar problemas que se presenten durante la investigación de un incidente o para asegurar sus redes, servidores y sistemas.
  • Los usuarios de las redes miembro del CEDIA recibirán información relacionada con sus propias cuentas de computadora aun cuando esto significa revelar información sobre el intruso, o información vergonzosa sobre otro usuario. Por ejemplo, si la cuenta aaaa es crackeada y el intruso ataque la cuenta bbbb, el usuario bbbb tiene derecho a conocer que aaaa fue crackeada y cómo el ataque sobre su cuenta bbbb fue ejecutado. El usuario bbbb además podrá conocer, si lo solicita, información sobre la cuenta aaaa que le permita investigar el ataque. Por ejemplo, si bbbb fue atacado por alguien remotamente conectado a aaaa, bbbb debe poder conocer el origen de las conexiones de aaaa aun cuando esta información podría ser considerada privada por aaaa. Los usuarios de las redes miembros del CEDIA deben poder conocer si sus cuentas han sido comprometidas.
  • La comunidad de CEDIA recibirá información no restringida, excepto cuando las partes afectadas hayan dado permiso para que la información pueda ser diseminada. La información estadística puede ser mostrada al público en general. No existe obligación de parte del CSIRT-CEDIA de reportar incidentes a la comunidad, aunque puede optar por hacerlo; en particular es posible que el CSIRT-CEDIA informe a las partes afectadas de las formas en que ellos fueron afectados o intente motivar al sitio afectado a así hacerlo.
  • El público en general recibirá información no restringida. De hecho, no se hará un esfuerzo en particular para comunicarse con el público en general, aunque el CSIRT-CEDIA reconoce que a todos los efectos y propósitos, la información disponible en la comunidad del CEDIA está en efecto disponible para el público en general y por tanto estará publicada de forma tal que tenga en cuenta esto.
  • La comunidad de seguridad informática será tratada de la misma forma que el público en general es tratado. Mientras miembros del CSIRT-CEDIA podrán participar en discusiones dentro de la comunidad de seguridad informática, tales como forums, listas de correos, conferencias, talleres, ellos tratarán estos foros como sitios donde existe público en general. Mientras problemas técnicos (incluidas vulnerabilidades) pueden ser discutidos en cualquier nivel de detalle, ejemplos tomados del CSIRT-CEDIA serán modificados para no publicar información del usuario o sitios afectados.
  • La prensa será considerada igualmente parte del público en general. El CSIRT-CEDIA no va a interactuar directamente con la prensa respecto a respuesta de incidentes, excepto para mostrarles información que ya ha sido publicada al público en general. De ser necesario, se referirán al departamento de relaciones públicas del CEDIA. Todas las preguntas relacionadas con incidentes serán referidas a este departamento. Lo anterior no afecta la capacidad de los miembros del CSIRT-CEDIA para ofrecer entrevistas en tópicos de seguridad generales, de hecho, se sugiere que así se haga como un servicio a la comunidad.
  • Otros sitios y CSIRTs, cuando están involucrados en la investigación de incidentes de seguridad, podrán ser provistos con información confidencial. Esto solamente ocurrirá si se puede verificar que el otro sitio actúa de buena fe y que la información transmitida será limitada a aquella necesaria para ayudar a resolver un incidente.

Para propósitos de resolver incidentes de seguridad, información semiprivada o información inocua sobre el usuario, por ejemplo, origen de conexiones, no serán consideradas información altamente sensitiva, y podrá ser enviada a un sitio remoto sin requerir demasiadas precauciones. La información sobre los intrusos será transmitida libremente a otros administradores de sistemas o CSIRTs. La información vergonzosa podrá ser transmitida si existe convencimiento de que permanecerá confidencial y que es necesaria para resolver un incidente.

  • Los fabricantes serán considerados como CSIRTs remotos para la mayoría de los contactos. El CSIRT-CEDIA desea apoyar a los fabricantes de todo tipo de equipamiento de red y computación, software y servicios para mejorar la seguridad en sus productos. Con esta finalidad, una vulnerabilidad descubierta en algún producto será reportada a su fabricante, así como los detalles técnicos necesarios para identificar y arreglar el problema. Detalles que permitan identificar al usuario no serán provistas al vendedor sin el permiso previo del usuario.
  • Personal de entes de justicia o policiales recibirán total cooperación del CSIRT-CEDIA, incluida cualquier información que requieran por ley para realizar sus investigaciones de acuerdo con la constitución y las leyes.

6. Comunicación y autenticación

Puesto que se pueden utilizar varios medios para el intercambio de información con el CSIRT-CEDIA, los teléfonos serán considerados suficientemente seguros para ser usados de forma no encriptada. Los emails no encriptados no serán considerados suficientemente seguros, pero serán adecuados para la transmisión de información poco sensitiva. De ser necesario, para enviar información sensitiva se sugiere el uso de PGP para encriptar la información.

Las transferencias a través de la red deben ser consideradas de la misma forma que el email, estar encriptadas en caso de ser sensitivas.

Cuando sea necesario establecer una relación de confianza, por ejemplo, antes de enviar información dada al CSIRT-CEDIA, o antes de publicar información confidencial, la identidad y buena fe de la otra parte debe ser asegurada a un cierto nivel de confianza. Dentro de CEDIA y con sitios de seguridad vecinos, serán suficientes las referencias de personas confiables para identificar a un tercero.

Otros métodos apropiados serán usados, como búsqueda de miembros del FIRST, el uso de WHOIS y otra información de registro de información, etc. Además del uso de llamadas telefónicas y correo electrónico para asegurarnos que la contraparte no es un impostor. Los emails entrantes cuyos datos deben se confiables serán revisados con el emisor de estos de forma personal o por medio del uso de firmas digitales.

7. Aviso legal

Mientras se han tomado todas las precauciones en la preparación de información, notificaciones y alertas, el CSIRT-CEDIA no asume responsabilidad por errores, omisiones o daños resultantes de la información aquí contenida