Posted on

Trillion

Consultar avisos de fugida d’informació en servei Trillion

En CSIRT-CV (Centre de Seguretat TIC de la Comunitat Valenciana) utilitzem el servei de Trillion, pertanyent a Threat Estatus, el qual monitora fuites o robatoris d’informació d’usuaris i contrasenyes d’accés a serveis en línia de tercers, fòrums i serveis en el núvol, que són utilitzats posteriorment pels cibercriminals per a dur a terme diferents tipus d’atacs.

Si ha rebut un correu com el que s’indica a continuació, significa que el seu compte de correu, i pot ser que també la seua contrasenya, han sigut identificats en alguna d’aqueixes fuites o robatoris d’informació. Revise les seues dades i verifique si els accessos a serveis en línia amb el seu compte de correu i/o contrasenyes identificades són reals, o ho van ser en el passat.

Per a accedir a la interfície de Trillion, has de prémer en l’enllaç següent, la qual cosa obrirà una finestra com la que es pot veure en la imatge següent (el fons pot variar, segons la manera fosca o clara):  https://mydata.threatstatus.com/

En el web que s’obri, ha d’introduir el codi alfanumèric (codi d’accés) que li va arribar per correu.

A continuació, li demanarà confirmar el compte de correu a la qual li va arribar la notificació (el seu compte de correu de GVA).

Una vegada accedisca al web de Trillion, si observa que la interfície web no està en idioma espanyol pot canviar-lo prement en el següent botó:

Li apareixerà un llistat de serveis afectats per bretxes de seguretat en els quals apareix el seu compte de correu, així com les dades incloses en aquesta publicació d’informació, incloent-hi contrasenyes, si n’hi haguera.

En l’apartat corresponent a cada alerta podrà comprovar en quines pàgines web s’ha detectat un possible compromís de les seues dades, i amb la icona roja s’indica quin tipus de dades s’ha vist afectat. Si apareix més d’una, no oblide revisar-les totes.

Únicament vosté podrà verificar en la part inferior del web, si la contrasenya que s’ha vist vulnerada és realment seua i així respondre a les preguntes que se li fan. Prema sobre el botó blau que apareix en la part inferior amb el text “Revisar contrasenya”.

A vegades, la informació no és completament fiable perquè pot provindre de fòrums de ciberdelinqüència, fuites o robatoris antics, o potser els responsables de la publicació d’informació només estan tractant de buscar la difusió de desinformació.

Per a això, per cadascun dels serveis haurà de verificar la validesa de la informació obtinguda, triant entre les opcions següents:

IMPORTANT: Si ha utilitzat la contrasenya observada en les bretxes en sistemes o serveis corporatius vaig marcar l’opció “Sí” per a procedir a una anàlisi en profunditat sobre el cas.

Aquest qüestionari arribarà a CSIRT-CV per a determinar quines accions són necessàries prendre i fer un seguiment de les possibles credencials compromeses. Prema el botó blau “Ok”.

Una vegada revisat cadascun dels casos en els quals va poder veure’s compromesa la seua credencial, apareixerà una pestanya indicant que l’alerta està revisada i no n’hi ha més en espera de revisió. Comprove que les ha revisades totes i no en falta cap.

Finalment, no oblide eixir de la sessió prement en el botó que apareix en la part superior dreta on s’indica Tancar sessió.

Independentment del resultat de les comprovacions realitzades amb Trillion, li recomanem que canvie les credencials tant del servei afectat com d’altres serveis en els quals puga tindre la mateixa contrasenya.

En els enllaços següents pot trobar algunes recomanacions de seguretat, així com una guia d’ús de gestors de contrasenyes que l’ajudarà a poder gestionar les seues credencials de forma més segura.

Posted on

RFC2350 CSIRT Description for CSIRT-CV


1. About this document

1.1. Date of Last Update: This is version 1.11, published 2017/06/07.

1.2. Distribution List for Notifications: Currently CSIRT-CV does not use any distribution lists to notify about changes in this document.

1.3. Locations where this Document May Be Found: The current version of this CSIRT description document is available from the CSIRT-CV WWW site; its URL is www.csirtcv.gva.es/csirt-cv

Please make sure you are using the latest version.


2. Contact Information

2.1. Name of the Team: Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV)

2.2. Address: Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV)
C/ Joan Reglà, 6 ground floor, 46010 Valencia. (Spain)

2.3. Time Zone: CSIRT-CV is one/two hour(s) ahead of UTC (GMT) in winter/summer,UTC+0100 in winter and UTC+0200 in summer ( DST).

2.4. Telephone Number: +34 963 985 300 (ask for CSIRT-CV)

This line is available during normal working hours (from 08:00 am to 15:00pm and from 16:30 pm to 19:00pm From Monday to Thursday and from 08:00am to 15:00pm on Friday). Out of normal working hours, inquiries will be noted down and sent to CSIRT-CV.

2.5. Other Telecommunication: None available.

2.6. Electronic Mail Address: CSIRT-cv email This is a mail alias that relays mail to the human(s) on duty for CSIRT-CV.
Mail is the preferred way of contacting us. And this is also the mail to report a computer security incident to CSIRT-CV.

2.7. Public Keys and Other Encryption Information: CSIRT-CV has a PGP key whose KeyID is 0x31E66CE003413DF9 and whose fingerprint is A505 5815 74D9 F89E B06F A579 31E6 6CE0 0341 3DF9
The key and its signatures can be found at the usual large public keyservers.

2.8. Team Members: None available.

2.9. Other Information: General information about the CSIRT-CV. as well as links to various recommended security resources, can be found at CSIRT-CV and Contact Form.

2.10. Points of Customer Contact: The preferred method for contacting the CSIRT-CV is via e-mail at CSIRT-cv email; e-mail sent to this address will “biff” the responsible human, or be automatically forwarded to the appropriate backup person, immediately. If you require urgent assistance, put “urgent” in your subject line.

If it is not possible (or not advisable for security reasons) to use e-mail, the CSIRT-CV can be reached by telephone during regular office hours.

The CSIRT-CV’s hours of operation are generally restricted to regular business hours (from 08:00 am to 15:00pm and from 16:30 pm to 19:00pm From Monday to Thursday and from 08:00am to 15:00pm on Friday, except holiday).

However, incidents out of this range will be noted down for further processing. If possible, when submitting your report, use the incidents form Incident Reporting Form or the phishing form Phishing Reporting Form. Note that, when you report an incident, the web page changes into SSL with GVA’s certificates.


3. Charter

3.1. Mission Statement: The purpose of the CSIRT-CV is, to assist members of Valencian Community: citizens, small and medium-sized enterprises and mainly public administration, in implementing proactive measures to reduce the risks of computer security incidents, and second, to assist this community in responding to such incidents when they occur.

3.2. Constituency: CSIRT-CV’s constituency is the citizens, small and medium-sized enterprises, and public administration in the Valencian Community. However, please note that, notwithstanding the above, CSIRT-CV.
Incident resolution services will be provided mainly for on-site public administration systems.

3.3. Sponsorship and/or Affiliation: CSIRT-cv is sponsored by the ‘Conselleria d’Hisenda i Economia’ which is the Ministry of Treasury and Public Administration within “Generalitat Valenciana”’s Government.
It maintains affiliations with various other CSIRTs on an as needed basis.

3.4. Authority: CSIRT-CV operates under the auspices of ‘Conselleria d’Hisenda i Economia’ within Generalitat Valenciana’s Government.

For further information on the mandate and authority of the Department of Computing Services, please, refer to the ministry web site (in Spanish).

CSIRT-CV expects to work cooperatively with system administrators and users at Valencian Community, and, as far as possible, to avoid authoritarian relationships. However, should circumstances warrant it, CSIRT-CV will appeal to Computing Services to exert its authority, direct or indirect, as necessary.

4. Policies

4.1. Types of Incidents and Level of Support: The level of support given by CSIRT-CV will vary depending on the type and severity of the incident or issue, the type of constituent, the size of the user community affected, and the CSIRT-CV’s resources at the time.
Incidents will be prioritized according to their apparent severity and extent. These incidents will be assessed as to their relative severity at CSIRT-CV’s discretion.

Note that no direct support will be given to end users; they are expected to contact their system administrator, network administrator, or department head for assistance.

In most cases, CSIRT-CV will provide pointers to the information needed to implement appropriate measures.

CSIRT-CV is committed to keeping its constituency informed of potential vulnerabilities, and where possible, will inform this community of such vulnerabilities before they are actively exploited.

4.2. Co-operation, Interaction and Disclosure of Information: CSIRT-CV will cooperate with other organisations in the field of computer security. This cooperation also includes and often requires the exchange of information regarding security incidents and vulnerabilities. Nevertheless CSIRT-CV will protect
the privacy of its constituency and therefore (under normal circumstances) pass on information in an anonymized way only.

CSIRT-CV operates under the restrictions imposed by the law of Spanish Data Protection Authority. Therefore it is also possible that CSIRT-cv may be forced to disclose information due to a Court’s order.

CSIRT-CV, unless explicitly authorized, will not divulge the identity or vital information of victims of computer security incidents.

4.3. Communication and Authentication: In view of the types of information that the CSIRT-CV will likely be dealing with, telephones will be considered sufficiently secure to be used even unencrypted. Unencryptede-mail will not be considered particularly secure, but will be sufficient for the transmission of low-sensitivity data. If it is necessary to send highly sensitive data by e-mail, PGP, or similar will be used. Network file transfers will be considered to be similar to e-mail for these purposes: sensitive data should be encrypted for transmission.

Where it is necessary to establish trust, for example before relying on information given to the CSIRT-CV, or before disclosing confidential information, the identity and bona fide of the other party will be ascertained to a reasonable degree of trust.

With known neighbour sites, referrals from known trusted people will suffice to identify someone. Otherwise, appropriate methods will be used, such as a search of Trusted Introducermembers, the use of WHOIS and other Internet registration information, etc, along with telephone call-back or e-mail mail-back to ensure that the party is not an impostor. Incoming e-mail whose data must be trusted will be checked with the originator personally, or by means of digital signatures (PGP in particular is supported).

5. Services

5.1. Incident Response (mainly on the gva.es network): CSIRT-CV will assist its constituency in handling the technical and organizational aspects of incidents. In particular, it will provide assistance or advice with respect to the following aspects of incident management:

5.1.1. Incident Triage:

          • Investigating whether indeed an incident occured.
          • Determining the extent of the incident.

5.1.2. Incident Coordination:

          • Determining the initial cause of the incident (vulnerability exploited).
          • Facilitating contact with other sites which may be involved.
          • Facilitating contact with appropriate security teams and/or law enforcement officials if necessary.
          • Making reports to other CSIRTs.
          • Composing announcements to users, (members of the constituency), if applicable.

5.1.3. Incident Resolution:

          • Technical Assistance. This may include analysis of compromised systems.
          • Recommendations on Eradication or Elimination of the cause of a security incident (the vulnerability exploited), and its effects.
          • Recovery Aid in restoring affected systems and services to their status before.
          • Suggestions in securing the system from the effects of the incident.

CSIRT-CV will collect statistics concerning incidents which occur within or involve its constituency and will notify the community as necessary to assist it in protecting against known attacks.

5.1.4. Technology watch:

          • Observer current trends in technology and distribute relevant knowledge to the constituency.

5.1.5. Provision of intrusion detection services (gva.es network):

          • The use of specialised tools or expertise to detect attacks and forward the alerts to the appropiate contact points in the community.

5.2. Proactive Activities: Proactive services provide means to reduce the number of actual incidents by giving proper and suitable information concerning potential incidents to the constituency. CSIRT-CV additional proactive services include:

5.2.1. Announcements:

          • CSIRT-CV will provide its constituency with information about ongoing attacks, security vulnerabilities, alerts in the general sense, and short-term recommended course of action for dealing with the resulting problems.

5.2.2. Vulnerability Analysis:

          • A database is maintained collecting information of vulnerabilities, automatically and manually, via network scans and by other means (penetration testing included). However, details of the security analyses will be confidential, and available only to the concerned parties.

5.2.3. Archiving services:

          • Records of security incidents handled will be kept. While the records will remain confidential, periodic statistical reports will be made available to the CSIRT-CV constituency.

5.3. Security Quality Management Services: In order to supervise and to increase the quality of the offered services, the following services are performed:

5.3.1. User Awareness Program:

          • The users’ awareness of security issues is improved by best practices guidelines programs, and appropriate measures. This implies an awareness of legal issues, in particular the enforcement of evidence collection.
          • CSIRT-CV will provide valuable educational materials aimed at increasing the awareness of security as well as improving the overall knowledge of security techniques among the members of the constituency. These materials in electronic formats will be distributed through the official website and social networks.
          • The members of CSIRT-CV will give seminars on computer security related topics to its constituency (mainly system administrators within gva.es network).

5.3.2. Education and Training:

          • Team members are constantly trained to enhance their skills and capacities.

5.3.3. Documentation: A documentation is maintained, dealing with the following topics:

          • The procedures being part of the services are documented.
            Results of Incident Management and Incident Analysis are documented, resulting in suggestions how to improve the services or systems, respectively.
          • Detailed descriptions of the above services, along with instructions for joining mailing lists, downloading information, or participating in certain services are available on the CSIRT-CV web site, as per section 2.10 above.

6. Incident Reporting Forms

If possible, use the following form when reporting a security incident: (this form is available in Spanish and Valencian)

For Phishing notifications, use the following form: (this form is available in Spanish and Valencian)

7. Disclaimers

While every precaution will be taken in the preparation of information, notifications and alerts, CSIRT-CV assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.

8. Security Considerations

This document discusses the operation of Computer Security Incident Response Teams, and the teams’ interactions with their constituencies and with other organizations.It is, therefore, not directly concerned with the security of protocols, applications, or network systems themselves.It is not even concerned with particular responses and reactions to security incidents, but only with the appropriate description of the responses provided by CSIRTs.

Nonetheless, it is vital that the CSIRTs themselves operatesecurely, which means that they must establish secure communication channels with other teams, and with members of their constituency.They must also secure their own systems and infrastructure, to protect the interests of their constituency and to maintain the confidentiality of the identity of victims and reporters of security incidents.


Posted on

Aplicacions CSIRT-CV

AVÍS: algunes d’aquestes aplicacions solament estan disponibles a través de la xarxa de la GVA*
(si no es troba en aquesta xarxa, no podrà accedir a aquesta informació)

Avalua-T

Eina d’autoavaluació amb la qual podrà esbrinar si en la seua organització existeixen riscos en ciberseguretat. Inclou proposta de plans de millora.

Capacitació en seguretat per a empreses
Cursos i vídeos interactius

Formació en línia i vídeos dirigits a empleats amb l’objectiu de conscienciar en temes de ciberseguretat i riscos existents, així com l’aplicació de bones pràctiques, d’una manera interactiva.

GVA Bichos*

Laboratori d’anàlisi de fitxers per a determinar si suposen una amenaça per als sistemes corporatius.

GVA Custodes*

Plataforma de consulta que inclou diferents tipus d’informes sobre alertes detectades, pel nostre servei de detecció d’intrusos, en cada àmbit.

Posted on

CSIRT-CV

CSIRT-CV és el Centre de Seguretat TIC de la Comunitat Valenciana. Naix al juny de l’any 2007, com una aposta de la Generalitat de la Comunitat Valenciana per la seguretat en la xarxa.

Es tracta d’una iniciativa pionera a l’ésser el primer centre d’aquestes característiques que es crea a Espanya per a un àmbit autonòmic. Actualment CSIRT-CV està adscrit a la Direcció General de Tecnologies de la Informació i les Comunicacions dins de la Conselleria d’Hisenda i Economia.

CSIRT-CV ofereix serveis dins de la Comunitat Valenciana (Alacant, Castelló i València), amb vocació de servei públic, sense ànim de lucre, per la qual cosa els seus serveis s’ofereixen gratuïtament.

Els col·lectius destinataris d’aquests serveis són:

    • Els ciutadans de la Comunitat Valenciana.
    • Els professionals i entitats privades, especialment les de menor grandària.
    • L’Administració Pública, tant local com autonòmica. Principalment aquesta última per la ubicació del centre.

Els equips CSIRT estan formats per un conjunt de personal tècnic especialitzat i dedicat a desenvolupar mesures preventives i reactives per a mitigar els incidents de seguretat en sistemes d’informació dins del seu àmbit d’actuació. CSIRT és l’acrònim en anglés d’Equip de Resposta a Incidents de Seguretat (Computer Security Incident Response Team); també es coneixen com CERT (Computer Emergency Response Team).

Tot CSIRT ofereix els seus serveis a un determinat conjunt d’usuaris, al qual se li sol denominar l’àmbit d’acció. Dins d’aquest àmbit, poden existir grups d’usuaris diferents, que rebran diferents tipus de serveis.

Hui dia les tecnologies de la informació s’han convertit en una eina comuna en la nostra vida quotidiana arribant a ser imprescindibles en algunes tasques professionals o personals.

Qualsevol incident de seguretat que ens puga afectar (virus, xarxes de zombis, atacs a servidors, modificacions de portals il·lícites, fugides d’informació, etc.) pot tindre el seu origen a nivell nacional o internacional, i per a atallar-ho convenientment s’ha de tindre contacte amb els principals actors (CSIRT/CERTs, tant públics com privats) que puguen ajudar-nos a resoldre-ho de manera ràpida i eficaç a través de protocols preestablits.

D’aquesta forma han sorgit diferents fòrums i organitzacions que coordinen als CSIRT, compartint informació sobre vulnerabilitats i atacs a nivell global i divulgant mesures tecnològiques que mitiguen el risc d’atacs a sistemes i usuaris connectats a Internet. CSIRT-CV és membre a nivell nacional del grup Csirt.es i a nivell europeu del grup Trusted Introducer de TERENA. Una descripció de CSIRT-CV sobre la base del RFC2350 (en anglés) es pot trobar en la pestanya Description.

Un dels majors reptes als quals s’enfronta la societat actual és l’increment constant de vulnerabilitats i amenaces sobre els seus sistemes i informació. Aquestes amenaces, que no tenen per què ser deliberades (poden deure’s a errors involuntaris), evolucionen constantment i representen un vertader desafiament per a la societat. En el cas d’atacs dirigits, el repte és encara major si es té en compte que les eines per a dur a terme els atacs són cada vegada més sofisticades i més fàcils d’aconseguir en Internet.

En el cas de l’Administració Pública, existeix legislació específica, com la Llei 11/2007 d’Accés electrònic dels ciutadans als Serveis Públics, que insta a l’Administració a promoure, en benefici dels ciutadans, l’ús de les noves tecnologies i està obligada a transformar-se en una administració electrònica, oferint els seus serveis a través de mitjans telemàtics. Aquest objectiu no es pot complir si no es garanteix la disponibilitat, integritat i autenticitat de la informació accessible, a més de generar una cultura de seguretat que de la confiança suficient per a eliminar o minimitzar els riscos associats a la seua utilització.

D’aquesta forma, la missió de CSIRT-CV és convertir-se en el centre de referència en seguretat de la informació i les noves tecnologies dins de la Comunitat Valenciana, servint de suport als col·lectius del seu àmbit sobre la base dels serveis oferits.

El principal objectiu de CSIRT-CV és contribuir a la millora de la seguretat dels sistemes d’informació dins del seu àmbit, així com promoure una cultura de seguretat i bones pràctiques en l’ús de les noves tecnologies de manera que es minimitzen els incidents de seguretat i permeta afrontar de manera activa les noves amenaces que pogueren sorgir.

Addicionalment, es volen complir els següents objectius:

    • Centre especialitzat en gestió d’incidents i crisis en matèria de seguretat.
    • Centre segur i de confiança d’intercanvi d’informació.
    • Centre representatiu de la Generalitat en seguretat, sent una via de comunicació amb altres organismes.
    • Establir relacions amb uns altres CSIRT/CERT i amb les Forces i Cossos de Seguretat de l’Estat.
    • Fomentar la protecció d’infraestructures crítiques de la Comunitat Valenciana.

Com a mostra d’això, CSIRT-CV publica la següent declaració:

CSIRT-CV disposa d’un catàleg de serveis on es recullen les funcions i prestacions oferides per CSIRT-CV a tot el seu àmbit d’actuació, diferenciat per col·lectius. Aquests recursos són gratuïts i s’ampliaran gradualment. Amb ells, el CSIRT de la Generalitat espera contribuir de manera eficaç al correcte funcionament de les administracions, PIMES i dels seus serveis a favor dels ciutadans.

Se segueix el patró clàssic dels Equips de Resposta a Incidents i unifica els serveis en tres grans grups en funció del moment i la forma en la qual CSIRT-CV actua davant un incident. Els col·lectius destinataris dins de la Comunitat Valenciana, venen definits de la següent forma: A: Administració Pública, P: PIMES i C: Ciutadans.

Serveis Reactius

S’inicien davant un esdeveniment o petició, tal com un informe d’un computador compromés, codi maliciós, vulnerabilitat de programari, o alguna cosa que haja sigut identificat per un sistema de detecció d’intrusos o un sistema de registre d’esdeveniments. Els serveis reactius són el component central del treball d’un CSIRT.

    • Alertes i advertiments (A, P, C)
    • Gestió, anàlisi i resposta a incidents (A, P, C)
    • Detecció d’intrusions (A)
    • Monitoratge de portals web (A, P)

Serveis Preventius

Ofereixen assistència i informació per a ajudar a preparar, protegir i assegurar els sistemes dels membres de l’àrea de cobertura, anticipant atacs, problemes o esdeveniments. Aquests serveis reduiran directament la quantitat d’incidents en el futur.

    • Anuncis (A, P, C)
    • Auditories (A)
    • Test d’intrusió (A)
    • Divulgació d’informació de seguretat (A, P, C)
    • Quadre de comandaments (A)

Serveis de Valor Afegit

Augmenten els serveis existents i són independents de la gestió d’incidents. Amb aquests, CSIRT-CV brinda la seua experiència per a ajudar a millorar la seguretat general de l’organització identificant riscos, amenaces i febleses del sistema. Aquests serveis contribueixen indirectament a reduir la quantitat d’incidents.

    • Formació (A, P, C)
    • Concienciació (A, P, C)
    • Assessoria tècnica (A, P)
    • Assessoria legal en matèria de seguretat (A, P, C)
    • Seguretat semàntica (A)