Reporte anual 2012 del UNAM Chapter

ORGANIZACIÓN

El UNAM Chapter pertenece al UNAM-CERT, una organización que está establecida dentro de la Universidad Nacional Autónoma de México (UNAM).
 
Miembros actuales:
  • Roberto Sánchez - Lider del Capítulo.
  • Miguel Bautista.
  • Javier Santillán.
  • Rubén Aquino.

IMPLEMENTACIONES

Utilizamos la siguiente infraestructura como un sistema de alerta y detección de intrusos con la finalidad de alimentar a nuestro proceso de respuesta a incidentes para poder identificar amenazas emergentes en Internet y así compartir este conocimiento con la comunidad.
 
Actualmente tenemos en ejecución 12 honeypots de baja interacción compartiendo 1060 direcciones IP públicas, utilizados para la captura de malware. Todos los honeypots están ejecutando varias instancias de dionaea y a su vez están compartiendo información directamente con HPFeeds.
 
Contamos también con un honeypot con 1000 direcciones IP públicas, que está ejecutando las herramientas kippo y glastopf, además de compartir también la información de ataques que detectan con HPFeeds.

Además se cuenta con una Darknet que analiza más de 20,000 direcciones IP públicas con una arquitectura de red escalonada para el monitoreo de red basado en Sguil, Snort, Argus, Tcpflow y otras herramientas de captura de información y análisis.

Finalmente, desarrollamos un sistema central llamado el Telescopio de Seguridad UNAM (TSU) que sirve para procesar toda la información recolectada por nuestros honeypots y la Darknet.

Cabe mencionar que en este año (2012) dejamos de utilizar honeypots de alta interacción debido a varias razones entre las que destacan principalmente problemas de mantenimiento y recursos físicos.

INVESTIGACIÓN Y DESARROLLO

Estamos trabajando en el desarrollo de una herramienta de recolección y análisis de spam (spampot) que busca patrones de URLs, archivos adjuntos y direcciones IP orígen dentro de correo spam. También nos encontramos en la fase de desarrollo de una herramienta de seguimiento de Botnets que registra la actividad de equipos infectados por malware a través del análisis de instrucciones enviadas por un servidor Command & Control por medio del protocolo IRC.

HALLAZGOS

Ninguno hasta ahora.

PUBLICACIONES, PRESENTACIONES Y COMPROMISOS CON LA COMUNIDAD

Como parte del UNAM-CERT, una de nuestras principales actividades es la detección y manejo de incidentes dentro de la UNAM y México, es por eso que mantenemos un contacto muy cercano con los CSIRT's de México y algunos proveedores de servicios de internet (ISP) en México, con quienes compartimos información acerca de incidentes de seguridad originados desde sus redes y que detectamos en nuestra red.

OBJETIVOS

Identificar tendencias en México acerca de ataques por medio de estadísticas y gráficas generadas con la información recolectada por nuestros honeypots.
 
Incrementar el número de implementaciones dentro de la UNAM y, de ser posible,  en otras redes de México.
 
Implementar y mejorar nuestras herramientas de procesamiento de spam y seguimiento de Botnets.

OTRAS ACTIVIDADES

Cada año el UNAM-CERT organiza el Congreso de Seguridad en Cómputo. Es un evento en el que se presentan conferencias técnicas y no tan técnicas acerca de seguridad informática, además se incluye una serie de cursos de especialización en varios temas clave de seguridad. Los principales propósitos son: compartir experiencias, discutir tendencias y brindar a los asistentes una mejor perspectiva de la seguridad en cómputo sobre redes mexicanas y alrededor del mundo.

TUTORIAS

Ninguna hasta ahora.