bsecure

EMPOWERING BUSINESS CONTINUITYagosto 2009 · 55 · www.bsecure.com.mx

ENTRE USUARIOS INCONSCIENTES

Y POLÍTICAS NO IMPUESTASMás de la mitad de los 141 profesionales

de IT que contestaron la encuesta, consideran que difundir la

conciencia de seguridad entre los usuarios e imponer políticas son los retos más grandes a enfrentar

este año.

INFORME ANUAL DE SEGURIDAD

9ACCESO 04 AYUDAN A APROVECHAR LA TECNOLOGÍALa administración de la infraestructura y el establecimiento de procesos es en buena parte lo que una organización necesita para aprovechar la tecnología instalada.

05 DESPIDOS IMPACTAN A LA SEGURIDAD EMPRESARIALLa reducción de la fuerza de trabajo ha impactado la seguridad de las organizaciones.

06 VISA LE ECHA GANAS CONTRA LOS FRAUDESLlegó a México la tecnología que es responsable de que VISA ofrezca hasta 40% mayor detección de fraudes en sus transacciones.

07 LA PFP PODRÍA INTERVENIR SU MAILLa nueva ley podrá aplicarse en todo México y según el dictamen el monitoreo pretende recabar información para prevenir delitos.

12 ¿QUÉ PASO DETRÁS DEL ATAQUE A TWITTER?Ataques de negación de servicio distribuido (DDoS, por sus siglas en inglés) ocurren todo el tiempo, pero atraen la atención del mundo cuando ‘tiran’ a sitios importantes o redes sociales populares, como Twitter.

OPINIÓN16 ALAPSI

FOR BUSINESS PEOPLE18 LO QUE DEBE SABER LA ALTA DIRECCIÓN SOBRE SEGURIDAD

ÁREA RESTRINGIDA20 RELATO DE UNA AMENAZA AL CIFRADO DE DISCO

08Los expertos de seguridad consideran que difundir la conciencia entre los usuarios e imponer políticas son los retos más grandes a enfrentar.

AGO O

03 EN LÍNEA 22 SINNÚMERO

Agosto, 2009 B:SECURE 3

ENLÍNEAINFECTADAS CON ANTIVIRUS FALSO 35 MILLONES DE PC AL MESCada mes unas 35 millones de PC son infectadas por primera vez con malware que se hace pasar por antivirus, también llamado rogueware, halló estudio.

Esta cantidad de computadoras representa 3.50% del total de PC existentes, según el reporte.

Panda Labs liberó los resultados de un análisis que tuvo como objetivo mo-nitorear el comportamiento del rogueware de manera multianual, llamado ‘El negocio del rogueware’. El documento da cuenta de los nuevos métodos de in-geniería social que utilizan los cibercriminales para distribuir el malware a través de Twitter, Facebook, MySpace y Google.

Según el estudio, los cibercriminales obtienen unos $34 millones de dólares de ganancias explotando los miedos de los usuarios de PC, ofreciéndoles quitar de su equipo software malicioso si pagan por un software falso de seguridad.

Durante el tercer trimestre de 2009 PandaLabs detectó 637,000 nuevos ejem-plares de rogueware, lo que indica que se multiplicó por 10 en menos de un año.

“El rogueware es muy popular entre los cibercriminales primeramente porque con ello no necesitan robar la información personal de los usuarios ni sus con-traseñas o cuentas bancarias para obtener ganancias de sus víctimas”, dijo Luis Corrons, director técnico de PandaLabs.

El reporte advierte que, a medida que el rogueware se hace más conocido, es más fácil detectarlo, por lo que los cibercriminales han mutado los ejemplares para dificultar su detección por los antivirus reales. Actualmente, existe alrededor de 200 familias de rogueware y se prevé que continúe creciendo el número.

VEN TINTES POLÍTICOS EN ATAQUES A TWITTERDiversos medios de comunicación citan versiones de expertos que coinciden en que el origen de los ataques a los sitios Twitter, Facebook y Blogger, entre otros, es Rusia.

Citando a aun bloguero, medios como la BBC aseguran que el ataque tiene tintes políticos por una simple evidencia: el sitio del bloguero activista a favor de la causa Georgiana, Cyxymu, también fue ‘tirado’ en el ataque.

Por otro lado, investigadores de firmas de seguridad informática no ven detrás del ataque a un Gobierno o motivos políticos, desde un punto de vista técnico.

Las sospechas son provocadas por la conmemoración del aniversario de la guerra que sostuvo el ejército de Georgia con el ejército ruso, el cual invadió su territorio con el pretexto de defender a los Estados separatistas Osetia del Sur y Abjasia.

Mónica Mistretta DIRECTORA GENERAL

Elba de MoránDIRECTORA COMERCIAL

Jonathan Hernández SosaDIRECTOR EDITORIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Luis Guadarrama, Ricardo Lira,

Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto

Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés

Velázquez, Gilberto Vicente, Carlos

Zamora

COLUMNISTASRoberto Gómez, Ricardo

Morales, Joel Gómez, Andrés Velázquez, Irving García

EDITOR ON LINEEfraín Ocampo

WEB MASTERAlejandra Palancares

VIDEOFernando Garci-Crespo

DISEÑOPablo Rozenberg

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

VENTAS Y PUBLICIDADMorayma Alvarado, Sonia Gómez, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos, Diana

Zdeinert

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

EL GALLETEROJonathan Hernández, editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.

BLOGUEROS INVITADOSMónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX

La administración de la infraestructura y el establecimiento de procesos es en buena parte lo que una organización necesita para aprovechar la tecnología instalada, reconocieron Jorge Steinfeld, CIO de Check Po-

int y Vicente Amozorrutia, director general de la compañía en América del Norte.

Por esa razón, la firma de seguridad de datos, redes y puntos finales ha traído desde Israel a México a Steinfeld, para que hable a los clientes de cómo tener un enfoque total de seguridad y cómo complementarlo con los procedimientos y los procesos adecuados para administrarla de mane-ra eficiente.

Al opinar sobre cómo los recortes de personal impactan a la seguri-dad de las organizaciones, en un entorno económico recesivo, los eje-cutivos coincidieron en que con o sin despidos o recesión, si no se están implementando las reglas de seguridad requeridas continuará creciendo el riesgo de comprometer la información corporativa y de los clientes.

“Con un enfoque de seguridad total, se puede controlar centralizadamen-te todo, para saber quién accesa de manera remota a qué información, si copia datos a un dispositivo que no es propiedad de la empresa, qué infor-mación copió. Con Check Point hay control de lo que las personas que se van de la organización pueden llevarse”, explico Steinberg.

La cabeza de Check Point en México dijo que, aunque ve interés y pre-ocupación en sus clientes por proteger su información especialmente de ex empleados, las empresas no están haciendo inversiones para lograrlo. De acuerdo con Amozurrutia, las compañías están procurando, primordial-mente, protegerse de robo de información al monitorear solo a los niveles ejecutivos y de toma de decisiones.

En entrevista, el responsable de administrar los proyectos de tecnolo-gías de información de la firma y Amozurrutia, coincidieron en que si la planeación es inexistente en la adopción de una arquitectura de seguridad o de una reingeniería de procesos, habrá brechas con consecuencias impre-visibles. ●

ACCESO

4 B:SECURE Agosto, 2009

CHECK POINT AYUDA A CLIENTES A APROVECHAR TECNOLOGÍA

Por Efraín Ocampo


La reducción de la fuerza de trabajo ha impactado la seguridad de las or-ganizaciones, coincidieron 45% de los encuestados en el marco de la Conferencia Black Hat USA 2009.

La encuesta aplicada por Brea-ch Security halló que una de cuatro compañías reportaron haber sufrido intentos de hackeo de uno de sus sis-temas, independientemente de si el resultado fue exitoso o no.

Estas cifras, de acuerdo con la fir-ma de seguridad, demuestran la co-rrelación entre los recientes recortes de personal que han sufrido las em-presas durante este año y su capa-cidad de mantener adecuadamente protegida su infraestructura.

Casi 60% de los encuestados confesaron que a sus compañías les lleva entre una y cuatro semanas reponerse de un ataque de inyec-ción SQL, de cross-site scripting o de otras vulnerabilidades Web im-

portantes. “Las malas condiciones

económicas globales han pro-vocado que las organizaciones se concentren en las inversio-nes mínimas que requieren para apaciguar a los audito-res, en vez de implementar soluciones para proteger ade-cuadamente a la información corporativa y del cliente”, dijo Sanjay Mehta, vicepresidente senior de Breach Security. ●

McAfee adquirirá al proveedor de software como servicio (SaaS, por sus siglas en in-glés) de seguridad MX Logic, con lo cual

reforzará su oferta de servicios entregados mediante la plataforma de cómputo en la nube.

La oferta del gigante del software de seguridad as-cendió a $140 millones de dólares en efectivo. MX Logic podrá ganar $30 millones más si cumple con ciertos objetivos de desempeño, según el acuerdo que establecieron.

Lo que planea McAfee es combinar el portafolio existente de software como servicio de MX Logic con la oferta propia de su Global Threat Intelligence para crear un conjunto de servicios de inteligencia basados en una plataforma de cómputo en la nube.

En dicha plataforma de servicios provistos desde la nube, la firma de seguridad planea entregar seguridad para el correo electrónico, seguridad Web, seguridad de punto final y consultoría de seguridad.

McAfee herederá la base de 40,000 clientes de su adquisición, los cuales concentran unos cuatro millones de usuarios finales.

El equipo de MX Logic formará parte de la unidad de negocio McAfee SaaS y reportará a su responsable, Marc Olesen. La transacción podría ser fi-nalizada durante el tercer trimestre de este año, pero aún se encuentra bajo aprobación regulatoria. ●

ACCESODESPIDOS IMPACTAN SEGURIDAD EMPRESARIAL

MCAFEE REFUERZA OFERTA DE SEGURIDAD EN LA NUBE

Llegó a México la tecnología que es responsable de que VISA ofrezca hasta 40% mayor detección de fraudes en sus transacciones.

Se trata de Advanced Authorization, que de acuerdo con Jacinto Cofiño, director de administración de riesgo de VISA para América Latina y El Caribe, consiste en una tecnología antifraude en tiempo real, propieta-ria de VISA, que para prevenir se alimenta en todo momento de informa-ción transaccional a nivel mundial para detectar desde el momento de la transacción cualquier posibilidad de fraude y proveer a las instituciones fi-nancieras indicadores de riesgo de forma que éstas decidan si autorizan o deniegan la transacción.

Advanced Authorization analiza patrones de fraude, comportamientos inusuales y transacciones con el fin de prevenir y detectar la actividad frau-dulenta a medida que ocurre. Analizando constantemente los patrones es-tadísticos y actualizando los modelos para crear códigos de condición de

riesgo para la cuenta, esta tecnología permite tomar decisiones de autoriza-ción en el mismo punto de venta.

La tecnología, que opera en Estados Unidos desde hace un lustro, se es-trenó en la región latinoamericana (particularmente Brasil) hace alrededor de año y medio, pero es apenas que se está introduciendo en México, con su implementación en los bancos más importantes. Para medir el nivel de eficacia, Cofiño señaló durante entrevista exclusiva: “La herramienta ha de-tectado y prevenido fraudes entre 20% y 40% adicional a lo que los bancos ya lograban detectar.

Cabe mencionar que Advanced Authorization funciona también para transacciones realizadas a través de Internet, según dijo el directivo, con la intención de colaborar a minimizar los rangos de fraude en la Red, aún el “ganador” en cuanto a niveles de transacciones fraudulentas por ser el me-dio más nuevo. ●

ACCESO


VISA MEJORA COMBATE

A FRAUDES EN TARJETAS BANCARIAS

Por Fabiola González


Gran parte de las instituciones de crédito mexicanas no cuenta con los controles necesarios para el cumplimiento de estándares en materia de seguridad informática, de acuerdo con estudio.

La investigación instrumentada por la firma BMC Seguridad In-formátca tuvo como propósito analizar las leyes aplicables para regular este sector en lo tocante a la seguridad y encontró que la causa de dicha proble-mática es la ausencia de asesoría, debido a la cultura reactiva que impera en América Latina.

En el marco del Tech Day organizado por la compañía, recordó a las ins-tituciones de crédito que las tecnologías pueden apoyarlas en el cumpli-miento de regulaciones, agilizar sus procesos y proteger la información de sus clientes.

En el evento, se discutió sobre los riesgos de la banca móvil y la tendencia de que evolucione a la banca de audio, impulsada por la existencia de me-jores tecnologías de reconocimiento de voz que garanticen su autenticidad y la privacidad de la información.

Elías Cedillo, director general de BMC Seguridad Informática, con-sideró que la ausencia de controles para el cumplimiento de estándares

en el sector crediti-cio mexicano siempre implica sanciones y pérdidas para las ins-tituciones.

“Nuestras expecta-tivas son crear en las instituciones de crédi-to una conciencia más amplia sobre seguri-dad en los datos de sus clientes, promover la tecnología que brinda respuesta a las necesidades en el cumplimiento de estándares y brindar ase-soría en el tema jurídico-informático”, explicó Cedillo.

La firma actualmente integra un portafolio de servicios profesionales, consultoría jurídico-informática y reuniendo a personal especializado para tal propósito. ●

La nueva ley podrá aplicarse en todo México y según el dictamen el mo-nitoreo pretende recabar información para prevenir delitos.La Cámara de Diputados mexicana dio a conocer que aprobó con 232 votos a fa-

vor, 75 en contra y cinco abstenciones el dictamen de la minuta por la que se expidió la Ley de la Policía Federal, la cual le confiere a la ins-titución policiaca la atribución de intervenir llamadas tele-fónicas y correos electrónicos.

El dictamen fue corregido por el Senado de la Re-pública para puntualizar que el comisionado de la Policía Federal (PF) no podrá dar instrucción al-guna sin previa autorización del Ministerio Pú-blico. El Congreso de la Unión anunció que la ley será enviada al Ejecutivo Federal para su pro-mulgación y publicación en el Diario Oficial de la Federación.

“Entre las atribuciones de la nueva policía desta-can investigar la comisión de delitos bajo la con-ducción del Ministerio Público, en términos de las disposiciones aplicables, recabar infor-

mación en lugares públicos, para evitar el fenómeno delictivo, con el apo-yo de personas, medios e instrumentos y cualquier herramienta que resulte necesaria para la generación de inteligencia preventiva”, comunicó la Cá-

mara de Diputados.Como resultado de esas atribuciones, la PF podrá so-

licitar por escrito a la autoridad judicial la inter-vención de comunicaciones privadas para el

cumplimiento de sus fines de prevención del delito así como realizar acciones de vi-gilancia, identificación, monitoreo y ras-treo en la Red Pública de Internet sobre sitios Web.

La nueva ley ha motivado cuestiona-mientos por parte de algunos diputa-

dos, como Claudia Cruz del Partido de la Revolución Democrática (PRD), quien

puso en tela de juicio la legalidad de in-tervenir comunicaciones con el fin de prevenir delitos. ●

ACCESOINSTITUCIONES CREDITICIAS REPRUEBAN EN SEGURIDAD

LA PFP PODRÁ INTERVENIR SU E-MAIL

Por Jonathan Hernández Sosa



Y POLÍTICAS NO IMPUESTAS

Más de la mitad de los 141 profesionales de IT que contestaron la encuesta, consideran

que difundir la conciencia de seguridad entre los usuarios e imponer políticas son los retos

más grandes a enfrentar este año.




Y POLÍTICAS NO IMPUESTAS

Más de la mitad de los 141 profesionales de IT que contestaron la encuesta, consideran

que difundir la conciencia de seguridad entre los usuarios e imponer políticas son los retos

más grandes a enfrentar este año.



Los encargados de resguardar la seguri-dad de las organizaciones, tanto priva-das como públicas, han hablado. Sus retos, miedos y pérdidas —aún cuan-

do muchos no saben los montos exactos— quedan al desnudo en la encuesta realizada por Netmedia Research a 141 profesionales de IT en México.

En materia de retos, para la mayoría de los representantes de la iniciativa privada, el de-safío está en la difusión de la conciencia en materia de seguridad (62.5%), seguido del de imponer políticas (61.54%) y lograr que los empleados no roben datos de la empre-sa (58.33%).

En cuanto al sector gubernamental, más de la mitad de los respondientes señala que sus grandes preocupacio-nes radican en imponer políticas (61.54%), difundir la conciencia de seguridad entre los usuarios (57.69%) e impedir intromisiones en datos por parte de atacantes externos (50%). “Impedir el robo de datos por parte de empleados” ocupa un importante cuarto lu-gar con 46.1% de las respuestas.

Jorge Luis Ibarra, director de sistemas del Sistema de Adminis-tración Tributaria (SAT) está de acuerdo con los colegas de su sec-tor, y afirma que los órganos del gobierno padecen la amenaza latente del uso indebido de la información que resguardan.

“Dentro de las organizaciones, quien legítimamente debe hacer uso de la información puede tener la tentación de usar esa misma información para otros fines que no son legítimos. Las auditorías

son uno de los elementos de importan-cia más alta de la organización, para co-nocer cómo están usando la información quienes son responsables de su resguar-do”, señala Ibarra.

LOS MIEDOSLas amenazas contra las que defenderán en el sector privado, en orden de rele-vancia, están encabezadas por combatir el robo de datos de clientes por perso-nas externas, seguido del temor a los virus y gusanos, el acceso no autoriza-do a los archivos y datos por parte de empleados, al malware, el robo de pro-piedad intelectual, al spam y al robo o pérdida de dispositivos móviles con da-tos corporativos.

David Orellana, director de tecnolo-gía en Mexicana de Aviación, precisó que “siempre hay una capa de virus, código malicioso y ataques a la página de Inter-net, que son el día a día de la ocupación en materia de seguridad, pero el que más

¿Qué tipos de intromisiones ocurrieron en su organización durante el 2008?

PÚBLICA PRIVADA

Ataques a las vulnerabilidades del sistema operativo 30.77% 32.29%

Violaciones al lenguaje de escritura Web (basado en Java o en ActiveX, por ejemplo) 19.23% 7.29%

Manipulación de las aplicaciones de software 26.92% 9.38%

Secuestro de recursos IT para participar en una red bot 11.54% 3.13%

Tráfico con materiales ilícitos o con datos ilegales 19.23% 17.71%

Negación de servicio 23.08% 19.79%

Intrusión en aplicaciones móviles inalámbricas 19.23% 6.25%

Intrusión a bases de datos 11.54% 3.13%

Brechas detectadas en el sistema de administración de información 26.92% 15.63%

Robo de identidad 7.69% 10.42%

Phishing 15.38% 23.96%

Virus 73.08% 69.79%

Gusanos 53.85% 55.21%

Ciberextorsión 0.00% 4.17%

No sabemos (Salta a la pregunta 7) 0.00% 10.42%

Ninguna (Salta a la pregunta 7) 7.69% 9.38%

Otras (especificar, por favor) 7.69% 2.08%

Fuente: Estudio realizado por Netmedia Research “Encuesta nacional de seguridad 2009” a 141 profesionales IT en México. Se permitieron respuestas múltiples.

¿Cuáles son los principales retos en materia de seguridad it que enfrenta?

PÚBLICA PRIVADA

El manejo de la complejidad de la seguridad 38.46% 25.00%

Impedir las intrusiones en los datos por parte de atacantes externos 50.00% 38.54%

Impedir el robo de datos por parte de empleados y demás personas internas 46.15% 58.33%

Calibrar el riesgo 15.38% 14.58%

Imponer políticas de seguridad 61.54% 58.33%

Controlar el acceso de los usuarios a sistemas y datos 46.15% 37.50%

Difundir la conciencia de seguridad entre los usuarios 57.69% 62.50%

Lograr que la Dirección General se interese 26.92% 28.13%

Conseguir suficiente financiamiento 26.92% 19.79%

Obtener experiencia y recursos profesionales 26.92% 17.71%



preocupa al negocio es la parte de la ingeniería social y la fuga de información confidencial.”

En cuanto al sector público, también en orden de importancia, el interés está en defenderse, antes que nada, de virus y gusanos.

En segundo lugar bus-can protegerse del acceso no autorizado a los ar-chivos y datos por parte de empleados, sypware y otro tipo de malware, así como del robo de datos de usuarios por personas externas a la organiza-ción y los ataques de ne-gación de servicio a sus sistemas.

Esto se refleja en la pre-gunta: ¿qué tipo de intro-misiones o espionaje ha sufrido su organización en 2008? La respuesta, tanto en organismos pri-vados y públicos, fueron

virus (69.79% y 73.08% respectivamente) y gusanos (55.21% y 53.85%).

CONCLUSIONES La percepción de seguridad sigue siendo muy similar a 2008. El ataque de virus, gusanos y accesos no autorizados (con fuga de información) son los principales temores de la gente de IT desde hace años y eso no cambiará en 2009.

Adicionalmente, los empleados autorizados y no autorizados son la principal causa de intrusiones; y la mayoría de los presu-puestos de seguridad se mantendrán o serán mayores.

Es de reconocer que el CEO y la dirección general están muy metidos en la decisión del presupuesto y políticas de seguridad de la empresa, lo cual es positivo en el avance del área de seguridad de las organizaciones. ●

Los respondientes a la encuesta enlistaron, en orden de relevancia, las principales amenazas de las que buscan protegerse:

SECTOR PRIVADO:

SECTOR PÚBLICO:

“TENGO MIEDO DE...”

¿Qué porcentaje del presupuesto IT de su empresa se destinó el año pasado a

seguridad de la información?

0.5% 19.23 10.42

2.5% 7.69 12.5

3% 7.69 3.13

4% 3.85 3.13

5% 0 10.42

8% 3.85 3.13

10% 7.69 13.54

15% 11.54 8.33

20% 7.69 5.21

25% 0 3.13

30% 3.85 2.08

35% 7.69 1.04

40% 0 3.13

3.85 0

¿Cuánto dinero perdió su organización a causa de la seguridad?

19.23% 8.33%

7.69% 3.13%

0.00% 0.00%

0.00% 2.08%

26.92% 41.67%

11.54% 11.46%

34.62% 33.33%


DATOS INTERESANTES

Ataques de negación de servicio distribuido (DDoS, por sus siglas en inglés) ocurren todo el tiempo, pero atraen la atención del mundo cuando ‘tiran’ a sitios importantes o redes sociales populares, como

Twitter.De acuerdo con un reporte de Craig Labovitz, investigador de la firma

Arbor Networks, los ataques de este tipo en contra de Blogspot, Facebook, LiveJournal y Twitter perpetrados la semana pasada no son los más podero-sos, aunque sí los más vistos.

Por ejemplo, el jueves pasado el experto detectó la actividad de 770 dife-rentes ataques DDoS en todo el mundo. De hecho, es posible medir la po-tencia de dichos ataques. Según Labovitz, uno de 30 Gbps es inusualmente potente, ya que el promedio tiene una fuerza de cerca de 1 Gbps.

Apenas hace poco más de un mes sitios Web del Gobierno de Estados Unidos y de Corea del Sur, así como de instituciones bancarias y organiza-

ciones específicas sufrieron ataques DDoS, por lo que ya se prevé que el res-to del año no mengüe este tipo de actividad maliciosa.

Lo que tienen en común los ataques DDoS es que es fácil llevarlos a cabo y su forma de operar realmente no ha cambiado mucho en años.

La gran desventaja para las empresas es que construir una botnet para lanzar un ataque DDoS es barato y relativamente sencillo. En cam-bio, para los negocios tiene un costo alto invertir en la infraestructu-ra que permita defenderse para tener la menor cantidad de estragos en su operación.

Además, el poder de las botnet está alcanzando proporciones gigantes-cas. Tan solo en los ataques a EU y Corea se calcula que fueron ejecutados por una botnet conformada por mínimo 35,000 computadoras zombie, si no es que la cifra alcanza los 40,000, según los últimos reportes de Secu-re Networks. ●

ACCESO


DDoS DETRÁS DE

ATAQUES COMO EL

DE TWITTER


Los que buscan empleo y, particularmente los desempleados, son el ob-jetivo favorito de los engaños enviados por los cibercriminales a través del correo electrónico.

Como ocurre con los temas de moda en el mundo, como la influen-za o Michael Jackson, las ofertas de empleo falsas se han convertido en un recurso efectivo para atraer a nuevas víctimas atraídas por su nece-sidad, alertó la firma de seguridad Red Condor.

Los engaños, como es de esperarse, llegan al correo electrónico de la víctima presuntamente de parte de una empresa reconocida de recluta-miento de personal, lo que le genera confianza.

Por otra parte, los atacantes están explotando los nuevos brotes de influenza en el mundo, la reciente muerte de Michael Jackson e inclu-so la latente efervescencia por la gestión del presidente de EU, Barack Obama para distribuir y sembrar malware, según reportes de Panda-Labs.

La variante de estas campañas de malware usadas durante este año, es que están diversificando su canales, añadiendo al correo electrónico

las redes sociales como Twitter y Facebook.La firma recordó a los usuarios en su re-

porte que procuren confirmar en la barra de direcciones del navegador que se encuen-tren en el sitio Web legítimo, sobre todo cuando han dado clic a una liga incrus-tada en un correo electrónico.

Además, insis-tió en que cuando los usuarios navegan a lo que supuestamente es YouTube desde uno de estos links y se les solicita descargar un códec par visualizar el video, re-cuerden que dicha página no requie-re de este tipo de programas. ●

Los atacantes no se complican mucho la vida y consultan Google para conocer cuáles son los temas más buscados en Internet para planear mejor sus engaños y fraudes, reveló estudio.

La ecuación es muy sencilla. La avidez de las personas por obtener infor-mación sobre los temas más populares y de moda los llevan a ‘googlearlos’, quedando así registro de cuáles son los intereses de los usuarios.

En este proceso, los atacantes generan engaños y fraudes relacionados con esos temas, técnica conocida como ingeniería social, con el fin de que

los usuarios muerdan el anzuelo y entreguen información sensible sobre sus identidades, sus tarjetas bancarias o que simplemente den clic en un víncu-lo que permita al malware ser instalado en sus PC.

“En julio se ha observado un incremento de los spammers que utilizan la información de tendencias de temas de Google como un método para de-terminar nuevas tácticas de ingeniería social”, dio a conocer el pronóstico de amenazas de Google de MX Logia.

La compañía de seguridad en mensajería destacó en su reporte que el lis-tado actualizado de las 100 búsquedas principales de Google Hot Trends le da a los criminales el material necesario para crear sitios Web maliciosos a donde acudan o sean redireccionados las víctimas de sus engaños.

Además, los atacantes se las han ingeniado para atraer tráfico a sus sitios maliciosos para convertirlos en búsquedas populares al jugar con el sistema de clasificación de páginas en los resultados de búsqueda que arroja Goo-gle, para de esta manera colarse entre los primeros resultados de búsqueda y escalar así el impacto de sus fraudes.

Según el reporte de MX Logic, Estados Unidos lidera la clasificación de países que envía el mayor volumen de spam en el mundo con 12.86%, se-guido de Brasil con 12.43%, China con 5.26%, Polonia con 5.06% e India con 5.01%. ●

ACCESO

ATACANTES USAN GOOGLE PARA REFINAR ENGAÑOS

SE BUSCA DESEMPLEADO INGENUO

Pareciera una respuesta al cambiante panorama del mercado de alma-cenamiento y provocado por la compra de la compañía de tecnolo-gías de deduplicación Data Domain por EMC hace una semana, el

lanzamiento de Symantec de la segunda fase de su estrategia “Deduplica-ción en todas partes”.

Con ella pretende ayudar a sus clientes a reducir más sus costos, así como la complejidad de administración y de infraestructura, con el fin de que dis-minuyan sus compras de almacenamiento y recuperen su información con mayor rapidez.

Para conseguirlo, Symantec integró la tecnología de deduplicación en sus plataformas de administración NetBackup, Backup Exec y Enterprise Vault, lo cual facilitará centralizar la administración y eliminación de datos redun-dantes nativos, así como aplicaciones de terceros de deduplicación.

En ese tenor, Symantec dio a conocer la nueva versión de la plataforma de recuperación NetBackup Platform, las cuales añaden capacidades de me-jora operativa y de almacenamiento en entornos físicos y virtuales.

Con la nueva versión las organi-zaciones podrán recuperar sus datos de manera más rápida y con menor complejidad, ya que en este software fueron unificadas en el centro de da-tos las tecnologías de administración de la información para respaldos de disco, deduplicación de datos, pro-tección de equipos virtuales, protec-ción continua de datos y replicación, de acuerdo con Symantec.

La oferta de EMC por Data Domain fue de $2,400 millones de dólares. Tan estratégica es la compra para el competidor de Symantec en dicho mer-cado, que fue capaz de ofrecer casi $1,000 millones de dólares más que su rival, NetApp, la cual había conseguido un acuerdo de compra y la aproba-ción del Consejo de Data Domain. ●

Investigadores de Hewlett Packard presentarán los avances del desarro-llo del primer navegador basado en Darknet, en el marco de la confe-rencia de seguridad Black Hat USA 2009, el cual se celebrará la semana

próxima.Los Darknet son redes de cómputo privadas, casi secretas, que son uti-

lizadas para establecer comunicaciones unificadas e incluso intercambio de infor-mación y archivos. Pero como el navega-dor está obteniendo un lugar central como plataforma con capacidades de control y acceso de información, tipo sistema ope-rativo, sería justo lo que una Darknet re-queriría para también llevarla a teléfonos inteligentes y a dispositivos móviles con la seguridad necesaria.

Dichas redes de cómputo seguras, explican los investigadores de HP Bi-

lly Hoffman y Matt Wood, pueden ser creadas utilizando aplicaciones de software de escritorio. Además, pueden ser aprovechadas las nue-vas versiones de los motores Javascript, incorporados en navegadores como TraceMonkey de Firefox y V8 de Chrome, las cuales facilitan ca-pacidades de encripción útiles para construir un navegador basado en

Darknet.“Lo que Billy y Matt han hecho es crear

una Darknet que proporcione a los usua-rios una forma de comunicarse y compartir archivos anónimamente utilizando sola-mente un navegador”, afirman los investi-gadores de HP.

Las Darknets requieren por lo gene-ral la instalación de algún tipo software para cliente, configuración de firewall, así como otros galimatías, explican en su sitio Web. ●

ACCESO

DESARROLLA HP NAVEGADOR BASADO EN DARKNET

SYMANTEC RESPONDE CON DEDUPLICACIÓN MEJORADA


RESERVE

SU AGENDA

www.governmentforum.com.m

x

12 DE NOVIEMBRE

HOTEL SHERATON

CENTRO HISTÓRICO El p

rimer fo

ro de alto

nivel para la

innovación

en los m

odelos de

administración públic

a.

Tel: (55)-2

629 7285,

2629 7260 opción 4

01800 670 6040

[email protected]

fo

Un evento deProducido por

Es posible que la primera idea que la viene al ver el titulo es ésta nota es: ¿Existe este tipo de investigación en nuestro País?

A continuación y con la finalidad de ofrecerle una respuesta sustentable procederé de manera muy breve a explicar cuál es la situa-ción de nuestro país en éste rubro, esto es; qué tenemos, que nos falta y qué debemos hacer.

Desafortunadamente como lo hemos venido escuchando en las no-ticias o incluso de familiares y amigos, delitos como: fraude, extorción, secuestro, explotación sexual, trata de personas, robo de identidad, robo de información, entre otros, los cuales son cometidos a través de un equipo de cómputo, de un dispositivo móvil de comunicación, te-léfono celular o a través de Internet, son temas presentes de mane-ra recurrente en nuestras conversaciones. De lo anterior y de acuerdo a nuestra experiencia las dudas en relación al tema son las mismas ¿Qué debo hacer? y ¿A quién debo acudir? La buena noticia es que si bien es necesario reforzar algunos puntos de nuestra legislación, hoy el Agente del Ministerio Público quién de acuerdo a nuestra Constitu-ción Política es el responsable directo de realizar una investigación con la finalidad de esclarecer un delito, cuenta con las herramientas nece-sarias para llevar a cabo en términos muy positivos una investigación de éste tipo. La mala noticia es que es que debemos adquirir la cultura de la denuncia al momento de convertirnos en víctimas, ya que mien-tras más oportuna sea dicha acción, mayores serán las oportunidades tanto de los Servicios Periciales como de las distintas Policías de auxi-liar al Ministerio Publico en la oportuna obtención de las evidencias que le permitan no solo esclarecer el delito sino también brindarle al Juez los elementos para sancionar y/o castigar a él o los culpables.

Permítame darle algunos ejemplos:En los casos de extorciones y secuestros los cuales utilizan como

medio la telefonía celular, la ley Federal de Telecomunicaciones le brin-da al Agente del Ministerio Público, las herramientas necesarias para lograr exitosamente la localización de una víctima y la de sus cautores en un plazo no mayor a 72 horas después de recibida la denuncia.

Existen acuerdos de cooperación con los Proveedores de Servicios de Internet más importantes con la finalidad de poder rastrear a los au-tores de amenazas, extorciones, y trata de personas a través de Inter-net cuando la denuncia se realiza en un plazo no mayor a 6 meses.

Existen las herramientas legales para que las entidades financieras le brinden a la autoridad solicitante lo necesario para realizar la locali-zación de un delincuente que utiliza las redes informáticas para come-ter delitos siempre y cuando las denuncias se realicen en un plazo no mayor a tres meses.

Los anteriores son solo algunos ejemplos de los delitos que sufrimos con mayor frecuencia, sin embargo le puedo asegurar que cuando tan-to la denuncia como los procedimientos de investigación por supuesto alineados a nuestra legislación se realizan de manera oportuna, el éxi-to en la solución de delitos cometidos a través de Tecnologías de la In-formación y Comunicaciones es muy cercano al 100%.

No es un asunto fácil, pero créame organizaciones tanto guberna-mentales así como la iniciativa privada se encuentran en masas de trabajo para dar solución al problema de forma eficaz y eficiente, sin embargo no es trabajo solo de una parte. La sociedad, los actores res-ponsables de la procuración de justicia de nuestro país, los legislado-res y los medios de comunicación, debemos aprender a trabajar en equipo, a confiar los unos en los otros y a respetar el trabajo de los de-más, con el único fin de que la investigación de un delito tenga frutos. ¿Cuáles? Castigar a los delincuentes y recobrar la confianza en noso-tros mismos anteponiendo la procuración de justicia ante los intere-ses personales. ●


INVESTIGACIÓN EN MÉXICO DE DELITOS COMETIDOS A TRAVES DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

OPINIÓN´

Por Mti. Oscar Manuel Lira Arteaga

18 B:SECURE

LO QUE DEBE SABER Y HACER LA ALTA DIRECCIÓN EN SEGURIDAD

Por Adrián Palma

BUSINESS PEOPLEfor

Segunda de 2 partes

En esta entrega hablaremos de lo que requiere saber y el rol que debe de jugar la alta dirección en materia de seguridad basado en el concepto de gobierno de seguridad de la infor-mación (GSI) un concepto relativamente nuevo y empeza-do a usar en algunas organizaciones de nuestro país aunque

no con el nombre rimbombante de GSI. Pero primero empecemos por entender la palabra gobierno acuñada por ahí de 1998 por la ISACA (In-formation Systems Audit and Control Association) y el IT Governance Institute donde gobierno es “ el conjunto de responsabilidades y prácti-cas, ejercidas por el consejo y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se manejen en forma apropiada y verificar que los recursos de la organización se utilicen con responsabilidad “ , en pocas palabras es el manejo efectivo y eficiente de la tecnología de infor-mación por parte de la organización.

Por lo tanto el GSI es el buen manejo de la seguridad de la informa-ción a través de toda la organización en todos sus niveles y es aquí don-de se da el primer gran problema que viven hoy día las organizaciones en México, el gran desconocimiento en la mayoría de los directivos de las organizaciones con respecto al tema de la seguridad, ¿que benefi-cios me da?, ¿que me puede pasar si no tomo en cuenta la seguridad?, ¿cuales son sus objetivos?, etc. Estos son algunos comentarios vertidos por algunos ejecutivos, en primer instancia se cree que es un mal nece-sario, la piedra en el zapato, lo tengo que hacer por el cumplimiento de los marcos regulatorios y/o de la normatividad interna del holding, en que me va a beneficiar esto de la seguridad, recuerdo que algún día un directivo importante de una empresa me dijo “mira en esta empresa aun con fraudes e incidentes de seguridad como tu le llamas, seguimos ge-nerando riqueza así es que a mi este tipo de temas me tiene sin cuidado porque pase lo que pase seguiremos ganando” obviamente este tipo de postura es totalmente extremista pero existen y eso es lo realmente gra-ve del problema la falta de conocimiento. Basado en mi experiencia muy pocos son los que realmente por una autentica convicción creen que la seguridad de la información les va a dar beneficios tanto tangibles como intangibles y por lo tanto asegurar una operación con un nivel de riesgo aceptable en todo lo relacionado con seguridad de la información.

Otro problema es que se piensa que la seguridad es responsabilidad de las áreas de tecnología, sistemas o informática y esa es una gran men-tira, la seguridad es responsabilidad de toda la organización y no solo de dichas áreas o del responsable de la seguridad de la información en la or-ganización, naturalmente en alguien deberá de recaer el ownership, en este caso es el responsable de la seguridad, pero todos los usuarios de la organización desde el mas alto nivel jerárquico hasta el mas bajo tendrán roles y responsabilidades que cumplir sin excepción.

Derivado de esto se desprende otro gran problema que actualmente se vive en las organizaciones la función de seguridad no esta a un nivel adecuado (Dirección, Subdirección o Gerencia) en las organizaciones por lo general se da a un nivel operativo y por consiguiente no se tiene la autoridad ni la facultad para trascender en todo lo relacionado con la seguridad de la información aunado a esto, otro problema es que difí-cilmente en las organizaciones hay un presupuesto asignado para segu-ridad, pocas son las organizaciones afortunadas en contar con recursos para seguridad además de que dicho presupuesto es obtenido de las áreas de tecnología (entre un 2 y 4 % del total de TI) y no de un presu-puesto a nivel organizacional que eso sería lo ideal y lo mas recomen-dable, no obstante de todo lo anterior, cuando no hay un presupuesto asignado para la seguridad y hay requerimientos, acciones a seguir o in-cidentes de seguridad como decimos coloquialmente se le rasca o quita a presupuestos de otros proyectos relacionados con TI.

Es importante recalcar que también muchas organizaciones no cuen-tan con una función de seguridad establecida, por lo regular esta respon-sabilidad recae en las áreas de tecnología a un nivel jerárquico bajo (por lo regular el administrador de la red, soporte técnico etc.) y sin disponer de recursos humanos ni presupuestales para desempeñar las funciones mas básicas de seguridad, además de que la perspectiva de seguridad es muy acotada o limitada no se toman en cuenta otros activos de informa-ción en capas como aplicaciones, bases de datos y menos en los pro-cesos de negocio y mucho menos en el eslabón mas débil de la cadena que es la gente, por lo regular se enfocan en la red y sistemas operativos por los skills de los responsables de seguridad. Sin embargo la mayo-ría de las organizaciones que si tienen esta función realizan actividades más operativas que estratégicas y normativas dificultando que la segu-

ridad se permee en toda la organización y solo sea vista desde la óptica de TI, Sistemas o Informática y no desde la óptica de lo que requiere realmen-te la organización, independientemente de la problemática y complejidad técnica de la seguridad.

Los problemas descritos arriba son los obstáculos para poder implemen-tar un GSI de manera efectiva y eficiente y es el gran reto que tendrán que superar las organizaciones en materia de seguridad, ya que a fin de cumplir con la difícil tarea de brindar una protección adecuada a la información y a los activos de información forzosamente se tendrá que contar con el apo-yo de la alta dirección, este es un factor crítico de éxito tal como sucede con otras funciones sensitivas de la organización por lo que la complejidad, im-portancia y criticidad de la seguridad y su gobierno exigen el total respaldo por parte de los niveles mas altos de la organización.

Es fundamental que la alta dirección comprenda perfectamente el alcan-ce y la severidad de los riesgos a los cuales esta expuesta la información la cual al ser el activo mas importante de la organización deberá ser tratada con el cuidado, precaución y prudencia que amerita. El GSI deberá ser res-ponsabilidad de la alta dirección, consejo de administración o el nivel más alto jerárquicamente dentro de la organización.

La creciente dependencia de las organizaciones de su información y de la infraestructura tecnológica que la maneja, junto con los riesgos, beneficios y oportunidad que representan, hacen que el GSI tome una relevancia fun-damental además de tratar los requerimientos legales y marcos regulatorios, un GSI efectivo se debe ver como un buen negocio por las siguientes razo-nes basadas en mi experiencia de proyectos realizados:

de la organización al reducir los riesgos a niveles aceptables

enfrenten de manera responsable y habitual a la responsabilidad legal o civil como resultado de errores o imprecisiones en la información, recor-demos que cada vez hay más marcos regulatorios que cumplir.

en información errónea.-

jora de procesos, así como una respuesta rápida a incidentes.

-ganización

-sibilidad de tener ventajas competitivas además de una mejora sustancial en el desempeño de la organización el contar con una función de seguridad de la información adecuada puede añadir un valor muy significativo a la orga-nización al reducir las perdidas derivadas de eventos que estén relacionados con la seguridad y brindar la confianza de que los incidentes de seguridad y las violaciones a la misma son manejados adecuadamente.

-rección y/o consejo de administración ya que se requiere de un gran im-pulso y lineamientos estratégicos, compromiso, recursos y algo de suma importancia la asignación de la responsabilidad para la función de seguri-

B:SECURE 19

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]

dad de la información y reitero solo es posible lograr un gobierno eficaz de seguridad mediante el apoyo y la participación de la alta dirección. Imple-mentar un gobierno eficaz de seguridad y definir los objetivos estratégicos es una tarea ardua y compleja. Tal como sucede con cualquier otra iniciativa importante tiene que contar con liderazgo y apoyo constante de las direccio-

real y efectiva se requiere como regla de dedo la integración y la cooperación de los dueños del proceso de negocio o funcionales que al final de cuenta son los que se verán beneficiados en este rubro.

Hasta cierto grado, la seguridad afecta todos los aspectos de la organiza-

de la información algo socorrido en varias organizaciones en México, para asegurar la participación de todas las posibles áreas afectadas por conside-raciones de la seguridad dicho comité esta conformado por representantes de nivel superior de las áreas afectadas (por lo general son los dueños de la información). Esto de alguna manera facilitara consensos sobre las priorida-des en materia de seguridad otra de las ventajas es tener un canal efectivo de comunicación y una base continua para garantizar que la función de segu-ridad sea congruente con los objetivos de la organización, además de pro-mover una cultura de seguridad adecuada en la organización.

Y por ultimo esta el responsable de la función de la seguridad conocido --

guridad que por obvias razones no tiene ni el nivel jerárquico ni la visión --

distintas circunstancias. El punto en cuestión es que alguien en la organi-zación debe de tener la responsabilidad de ejecutar todos los lineamientos marcados por el GSI.

efectivo:

este vinculada intrínsicamente con los objetivos de la organización

toda la organización, este rubro es fundamental aunque en muchas orga-nizaciones se subestima, la normatividad es tan importante en la función de seguridad que si hiciéramos una analogía con el cuerpo humano dicha normatividad sería el corazón del ser humano.

3. Una estructura organizacional efectiva, que cuente con el nivel y autori-dad necesario para que la seguridad se permee a lo largo de la organiza-ción, libre de conflictos de interés y recursos adecuados.

4. Métricas y procesos de monitoreo que garanticen el cumplimiento y pro-porcionen retroalimentación sobre la efectividad de la seguridad en par-ticular este punto es mucho muy complejo por la adopción de métricas claras y efectivas.

-tice la adecuada adopción de un GSI esta en el interés y la concientización de la importancia de la seguridad en una organización por alta dirección si esto no se efectuara el GSI estaría condenado al fracaso. ●

Una de los temas de moda en la mayor parte de las organizacio-nes es de la prevención de pérdida de datos (DLP por sus si-glas en inglés). Existen varias herramientas para implementar

un DLP, siendo las de cifrado de disco una de las más utilizadas. La he-rramienta de software libre más conocida y utilizada para el cifrado de un disco es TrueCrypt. En el evento de Blackhat de este año el inves-tigador austriaco de 18 años, Peter Kleissner, presentó un bootkit de nombre Stoned que representa una amenaza al cifrado proporcionado por esta herramienta.

Existen dos escenarios cuando una cifra con TrueCrypt. En el pri-mero solo la partición del sistema es cifrado, el MBR, el espacio no particionado y el área protegida del host permanecen sin cifrar. En el se-gundo escenario se lleva a cabo un cifrado completo del volumen, solo el MBR permanece sin cifrar.

El año pasado investigadores de la universidad de Princenton dieron a conocer un ataque dirigido a herramientas de cifrado de disco conocido como ataques de arranque de en frío. El ataque se basa en el hecho de que la información almacenada en la RAM de


STONED VS TRUECRYPT,

RELATO DE UNA AMENAZA AL CIFRADO EN

DISCOPor Roberto Gómez Cárdenas

ÁREARESTRINGIDA

la computadora no se borra de forma inmediata. Es posible retirar la memoria de una computadora que se encuentre en modo sus-pensión, o que se haya apagado recientemente, insertarla en otra máquina y recuperar la clave de cifrado. También es posible arran-car la computadora desde un CD live y examinar la RAM de la má-quina para recuperar la llave.

El ataque de Kleissner consiste en la inserción de un bootkit en la máquina para que este recupere la llave de cifrado. Duran-te el arranque el BIOS manda llamar el bootkit, el cual ini-cia la ejecución del cargador de TrueCrypt. El bootkit usa un reenvío doble para redireccionar la interrupción 13h, lo que permite situarse entre las llamadas de Windows y TrueCrypt.

Un bootkit es un tipo de rootkit que se instala en el sec-tor de arranque, por lo que el malware dentro de este se carga en el sistema cuando la computadora arranca. El tra-bajo de Kleissner se basa en un virus de nombre Stoned. Es el nombre de un virus de sector de arranque que fue creado en 1987, aparente-mente en Nuevo Zelanda. Fue uno de los primeros virus y se diseminó bastante al principio de los noventas.

Stoned fue diseñado como un MBR compuesto de diferentes mó-dulos. Los plugins y aplicaciones de booteo se encuentran en el sis-tema de archivos, no el MBR. El programa contiene un modulo “Disk System” para acceder a los sistemas de archivos NTFS y FAT que solo los soportados actualmente. El rootkit en si es independiente del siste-ma operativo, sin embargo actualmente solo ataca sistemas operati-vos Windows.

Ya que el MBR permanece sin cifrar es posible escribir el boot-kit en él. Ahora bien, el espacio que ocupa el MBR no es muy gran-de por lo que es necesario escribir los plugins, el respaldo del MBR original y otro tipo de código, en otro lugar. Para el primer escenario de cifrado en TrueCrypt los datos pueden almacenarse en el espa-cio que no está particionado. En el segundo escenario todo el soft-ware de ataque debe almacenarse en el espacio que ocupa el MBR, dentro de los 63 sectores menos el espacio que ocupa el software de descifrado. TrueCrypt cuenta con siete sectores donde Stoned pue-de almacenarse.

Ya que el software requiere poder manipular datos en crudo es nece-sario contar con privilegios de administrador. Sin embargo el 75% de los usuarios cuentan con privilegios de administrador. En caso de que no se cuente con estos, se le solicita al sistema que eleve los privilegios a través de la función ShellExecute() o se le pide al usuario la autorización mediante un mensaje. Si el usuario responde que “no” al mensaje, se le pregunta de nuevo hasta que presione la opción de “si”.

Es posible crear un Live CD usando Windows PE para contar con un CD que inyecte el bootkit en una computadora y le de vuelta al cifrado proporcionado por TrueCrypt. Lo mismo se puede hacer con un USB.

La única forma de arranque segura, que no es afectada por Stoned, es el uso de TPM (Trusted Plataform Module) en conexión con el cifra-

do completo del volumen (el segundo escenario de TrueCrypt). Sin em-bargo Kleissner se encuentra trabajando en la forma de darle la vuelta a esto. El ataque tampoco se puede llevar a cabo con el nuevo BIOS, Ex-tensible Firmware Inerface (EFI). Otra forma de protegerse es arrancar la máquina con un dispositivo externo, USB o CD, de tal forma que el MBR del disco duro nunca se lea. TrueCrypt proporciona un medio de hacer esto.

El autor contactó a Microsoft y a TrueCrypt para contar con su pun-to de vista sobre el ataque. Microsoft no respondió nada, pero el nivel de alerta del Win32/Stonned fue asignado como severo. Por otro lado, a través de un correo enviado a Kleissner, la gene de TruCrypt mani-festó que el ataque es inválido por dos razones. La primera es que el atacante y/o bootkit requiere contar con privilegios de administrador. La segunda es el hecho de que el atacante necesita tener acceso físi-co al hardware y que el hardware sea usado después de que el acce-so tuvo lugar.

La noticia causo bastante revuelo y varios grupos de discusión han abordado el tema. Es necesario considerar varios aspectos an-tes de encender las alarmas y no utilizar TrueCrypt, o cualquier otro software de cifrado de disco. El ataque no es nuevo en su con-cepción aunque muy ingenioso en su implementación. Un keylo-gger también puede recuperar la llave de cifrado, y de la misma forma que Stoned, la instalación de este requiere de acceso físico a la computadora. Hay que tomar en cuenta que la presentación de Kleissner en Blackhat habla sobre un bootkit que funciona so-bre todas las versiones de Windonws y que una vez instalado po-dría llevar a cabo alguna acción.

El ataque sobre TrueCrypt tan solo es una demostración de lo que puede hacer el bootkit. Se puede cambiar el ma-lware que contiene el virus y llevar a cabo otro tipo de ataque. Si se revisa la presentación que utilizo Kleis-nner, solo una lamina de 38 hacer referencia a True-Crypt. Por otro lado, ningún software de cifrado de disco verifica el sector de arranque, no es función de este tipo de software el llevar a cabo este tipo de verifi-caciones. Sin embargo recordemos que la seguridad se debe ver como un todo y no solo una parte de esta. Es

necesario contar con los mecanismos necesarios para proteger to-das vulnerabilidades del sistema y no solo una parte.

Es curioso cómo empezó a circular en internet la noticia de que un rootkit había traspasado la seguridad de TrueCrypt. Cuando se lee este tipo de noticias, uno piensa que se trata de un malware que es capaz de descifrar todo el disco sin necesidad de que el usurario teclee su cla-ve. Este no es el caso, es necesario que el atacante tenga acceso físi-co a la máquina, inyecte el bootkit y que después el usuario arranque la máquina y teclee su contraseña para que el ataque tenga éxito. Si un atacante es capaz de hacer todo lo anterior sin que el usuario lo note, ningún tipo de protección podrá garantizar la seguridad de la informa-ción almacenada en la computadora. ●

EL ATAQUE DE KLEISSNER CONSISTE EN LA INSERCIÓN DE UN BOOTKIT EN LA MÁQUINA PARA QUE ESTE RECUPERE

LA LLAVE DE CIFRADO.

EL AÑO PASADO INVESTIGADORES DE LA UNIVERSIDAD DE PRINCENTON

DIERON A CONOCER UN ATAQUE DIRIGIDO A HERRAMIENTAS DE

CIFRADO DE DISCO CONOCIDO COMO ATAQUES DE ARRANQUE DE EN FRÍO


SINNÚMERO

Está navegando en uno de sus sitios favoritos y de

pronto aparece una ventana, una alerta al parecer

del antivirus que indica lo siguiente: la PC está

infectada con virus y debe comprar un antivirus

en el acto para limpiarla.

Más allá de cuántos usuarios podrían reconocer

un antivirus falso de uno verdadero, la pregunta

es ¿por qué los usuarios podrían confiar en un

software que aparece así de pronto?.

Al parecer, muchos están cayendo.


¿SEGURO QUE SU ANTIVIRUS NO ES FALSO?

De acuerdo con estimaciones de Panda Security, los usuarios de Internet pierden hasta $34 millones

de dólares por comprar software antivirus falso en Internet en circunstancias similares a la descrita.

El scareware es un tipo de malware que aparenta ser un antivirus y utiliza el miedo del usuario para,

paradójicamente, infectar su PC.

Para finales de 2008, Panda Security detectó 55,000 tipos diferentes de antivirus falsos y espera

que para finales del tercer trimestre de este año la cifra explote a casi 640,000 ejemplares.

Por este descuido de los usuarios, cada mes 35 millones de PC son infectadas.

Microsoft difundió en abril un informe en el que identificó que durante la segunda mitad de 2008 una

variante de scareware se encontraba instalada en más de 4.4 millones de computadoras.

bsecure

Documents