Detección y evasióntips para una inyección Distinta

MpLs, CALIDAD Y FACILIDADPag. 13

SECURITY&TECHNOLOGYI T P R O F E S S I O N A L S M A G A Z I N E

pHisHinG, UnA AmenAzA CReCIenTePag. 8

certiFieDetHicaL HacKerPag. 5

Año 1 · Número 1 · Agosto 2006

3

staFFDIReCToR GeneRALGustavo rodolfo sepulcri

PRoPIeTARIoSsc it security professionals s.r.L.

CooRDInACIón eDIToRIALJuan Manuel Gracia

ReVISIón Y CoRReCCIónnatalia cerrella

ReDACToReSDiego san estebanGustavo r. sepulcriJuan pecantetMariano GiralFederico pachecoHernan M. racciattiGabriel schwartzFabián calveteMarco escobarHéctor Jaraedson vittoriano piuzzisantiago pla

PUbLICIDAD - SUSCRIPCIoneSromán Domínguez (K)rdominguez@st-magazine.comsuscripcion@st-magazine.com

DISeÑo GRÁFICoariel Glaz

ILUSTRACIón Y DISeÑo Webalicia vera alice

Si querés colaborar con security & technology, escribinos awriters@st-magazine.com

security & tecHnOLOGyit professionals Magazine

cOntactOinfo@st-magazine.comwww.st-magazine.com

Queda prohibida la reproducción no autorizada total o parcial de los textos publicados, mapas, ilustraciones y gráficos incluidos en esta edición.La Dirección de esta publicación no se hace responsable de las opiniones en los artículos firmados, los mismos son responsa-bilidad de sus propios autores. Las notas publicadas en este medio no reemplazan la debida instrucción por parte de perso-nas idóneas. La editorial no asume responsabilidad alguna por cualquier consecuencia, derivada de la fabricación, funcionami-ento y/o utilización de los servicios y productos que se de-scriben, analizan o publicitan.

SECURITY&TECHNOLOGYI T P R O F E S S I O N A L S M A G A Z I N E

¡Estamos de celebración!Nos enorgullece el presentarles nuestro primer número de Security & Technology,

una revista dirigida a empresas y profesionales de IT, cuyo principal objetivo es con-tribuir al desarrollo de su organización así como también de los profesionales que en ella se desempeñan. Para lograr este objetivo, nuestra propuesta apunta a acercarle a Ud., contenido relacionado con diversos temas de la actualidad tecnológica; novedades en hardware, software, telecomunicaciones y todo lo referido al área IT. En tal sentido, desde estas páginas intentaremos brindarle información de utilidad respecto a la ca-pacitación de sus recursos humanos, perspectivas del mercado, estrategia, seguridad informática y otros temas que creemos serán de su interés.

Así como el panorama de la seguridad ha evolucionado durante los últimos años, la seguridad en materia tecnológica ha dejado de ser una preocupación de la tecnología misma, para convertirse en un asunto netamente relacionado con su negocio. Desde este punto de vista, dirección y gerencia han pasado a formar parte activa en los procesos, la tecnología y los asuntos de personal, que inevitablemente de una u otra forma, se encuentran íntimamente relacionados con la seguridad de la información.

Si bien es cierto que nadie puede predecir cuándo ocurrirá el próximo incidente de seguridad en su organización, el que un incidente de tales características nos alcanzara en algún momento, es un hecho que no debemos desconocer. Precisamente, teniendo en cuenta que el generar conciencia es parte fundamental de nuestro objetivo primario, es que consideramos esencial la puesta en circulación del material que hemos reunimos en este ejemplar.

El usuario de informática y la tecnología suele caer en crisis existenciales: ¿Qué hay de nuevo en el mundo IT? ¿Qué tecnología me conviene elegir para proteger mi seguridad? ¿Qué programas debería usar? ¿Cómo debo encarar un proyecto empresarial? ¿Qué es lo que viene y cuánto cuesta? Security & Technology llegó para responder a todos estos interrogantes a través de una visión analítica de los productos y servicios disponibles en el mundo de la tecnología y la informática.

Siendo el contenido profesional uno de los puntos de mayor interés entre los lectores, todas nuestras notas y entrevistas serán realizadas por un staff de especialistas, como así también invitados especiales destacados en el rubro, quienes nos brindarán su colaboración con el objeto de lograr hacer de esta su publicación un recurso más a su disposición.

Como mencionáramos en los párrafos anteriores, este es nuestro primer número y es-peramos ansiosos sus comentarios y sugerencias. Estamos deseando crecer rápidamente junto a ustedes, nuestros lectores. Crecer en cantidad de páginas, tirada editorial y muy especialmente en calidad de contenidos, especialistas y diseño. Sabemos que con vuestro aporte, pronto nos convertiremos en la referencia ineludible para todo usuario, entusiasta o fanático de la tecnología y seguridad informática, motivo por el cual hemos habilitado una dirección de correo electrónico en la cual esperamos recibir sus mensajes: info@st-magazine.com

¡Que lo disfruten y nos vemos en Septiembre!

Año 1 · Número 1 · Agosto 2006

eDitOriaL

Immunity Canvas es una herramienta de penetration testing que ofrece cientos de exploits confiables, apuntado a Profesionales de la seguridad informática y Penetration Testers.

ImmunityCanvas Professional

L os pioneros de la tecnología Intru-sion Detection dieron a conocer su estrategia de control de acceso a re-des (NAC, Network Access Control). La solución aprovecha la performance de McA-fee en administración integrada de seguridad y la aplicación de políticas a nivel de empresas, al igual que la experiencia de la empresa tanto en seguridad de sistemas como de redes.

McAfee NAC, potenciado por McAfee Policy Enforcer, ofrece a las empresas de mediano y gran tamaño de cualquier parte, acceso en cualquier momento, a redes empresariales para sus empleados, invitados y contratistas, mientras protege los valiosos activos contra el riesgo de malware o configuración errónea de sistemas finales (endpoints).

Mcafee Policy enforcer ProPorciona:· Policy Enforcer permite a los clientes

implementar una solución NAC completa, aprovechando las inversiones existentes en seguridad de endpoints y redes.

· Redes y endpoints más seguros: sólo los endpoints que no presentan infecciones pueden acceder a la red.

· McAfee AVERT Labs actualiza en forma continua y automática las listas recomendadas para verificación de infecciones.

· Administración de seguridad y cumplim-iento de políticas unificadas: McAfee Policy En-forcer está diseñado como un modulo de ePol-icy Orchestrator, lo que permite a los clientes implementar una solución NAC que funciona inmediatamente, aprovechando una consola única tanto para administración de la seguri-

dad como para el cumplimiento de normas.La estrategia NAC integral de McAfee tiene

como objetivo ofrecer la solución NAC más completa y flexible que se adapta a cualquier entorno de un cliente. El proceso de cinco pa-sos que se describe a continuación permite la administración completa de los riesgos cuando los endpoints se conectan a la red:

· Definición de políticas: integración sin problemas de McAfee Policy Enforcer con ePolicy Orchestrator, lo que permite la ad-ministración de la seguridad y políticas de cumplimiento completamente integradas en una consola única centralizada. Control de políticas flexibles e inteligentes como políti-cas altamente detalladas y conscientes de la ubicación.

· Detección: identifica todos los endpoints que se conectan a la red sin importar la mo-dalidad de acceso a la red. Proporciona sopo-rte para acceso de endpoints con agentes, sin agentes y con agente “a pedido”.

· Evaluación: evaluación detallada de siste-mas tanto administrados como no administra-dos usando escaneo híbrido local y remoto po-tenciado por la tecnología Foundstone que es líder en la industria. Evalúa el cumplimiento de las políticas en cuanto al nivel de parches, actualizaciones de sistema operativo y apli-caciones, aplicaciones de seguridad e infec-ciones.

· Cumplimiento de normas: amplias alternati-vas de cumplimiento de políticas, que incluyen pero no se limitan a cumplimiento automático, cumplimiento por conmutador, norma 802.1x, API de VPN, DHCP, Cisco Network Admission Control, Microsoft Network Access Protection (NAP) y Trusted Network Computing (TNC). Permite el cumplimiento de políticas incluso cuando el sistema está desconectado de la red.

Permite el acceso total, parcial, en cuarentena a la red o restringe el acceso a la red según el nivel de cumplimiento.

· Reparación: opciones de reparación flexible que abarcan actualizaciones de aplicaciones de seguridad; protección contra vulnerabilidades usando IPS de hosts para protección previa a parches, al igual que implementación de parch-es. Opción controlada por el cliente mediante un solo clic y reparación automática.

McAfee, de acuerdo con el método de cumplimiento elegido, permite a los clientes implementar hoy una solución NAC en su red heterogénea existente, mientras brinda una base para futuros upgrade de la red.

¿usted dejaría que cualquiera entre en su casa?

Igualmente, no debe dejar que cualquier computadora entre en su red. Usted necesita de una solución completa de fiscalización que combine controles inteligentes de políticas con varios métodos de comprobación. Los controles de políticas son el cerebro de una solución de fiscalización, permitiéndole definir y administrar centralmente su política de seguridad de TI, evaluar inteligentemente si sus computadoras cumplen dicha política, y, finalmente, decidir cómo solucionar los problemas. Los métodos de fiscalización detectan las computadoras luego que solicitan una conexión con la red, además de especificar el acceso a la red según el status de la evaluación y el tipo de conexión con la red.

OPINIÓN DE CISCO“La experiencia de mcAfee en seguri-dad, junto con la experiencia de Cisco en infraestructura de red, se integra sin problemas para brindar una solución nAC completa”, comentó Russell Rice, director de marketing de Cisco.“el liderazgo de mcAfee en administración de seguridad de endpoints y cumplimiento de políticas a nivel de empresas comple-menta en forma ideal nuestro liderazgo en redes empresariales para proporcionar una combinación poderosa “dos en uno” para los clientes mutuos”.mcAfee nAC crea nuevas oportunidades para sus socios de canal, lo que les per-mite agregar valor al proporcionar servi-cios de implementación rápida de nAC que ayudan a sus clientes a implementar una solución nAC que funciona totalmente. Los socios de canal de mcAfee actúan como asesores de confianza para ayudar a implementar y administrar soluciones de seguridad, lo que proporciona servi-cios como evaluación de vulnerabilidad, planificación de políticas de seguridad y capacitación.

» Por Lic. Diego San Esteban

“Para mantener la disponibilidad y la integridad de la infraestructura de TI frente a un entorno de ame-nazas que cambian rápidamente, las empresas deben implementar un proceso y arquitectura NAC. Esto ayuda a evaluar la seguridad de un sistema o usuario cuando se conecta a la red; monitorea la segu-ridad de los sistemas que ya están conectados e implementa políticas de acceso a la red y de reparación del sistema basadas en el sistema, el entorno de amenazas y la identi-dad del usuario”LawrENCE OraNS, analista de investigación de Gartner

“La mayoría de las soluciones NAC sólo revisan para determinar si usted cumple las políticas, pero no verifican si ha sido infectado con malware o programas no deseados. La solución de control de acceso a redes de McAfee proporciona verifi-caciones detalladas de políticas que le ofrecen información sobre sus activos, aplicaciones y sus riesgos asociados, y también hace una re-visión para determinar primero si un endpoint está infectado, antes de permitirle acceder a nuestra red”aNDré GOLD, director de seguridad de la información de Continental Airlines.

““

4 Security&technology | AGOSTO 06

5

ceH: certified ethical HackerLa certificación CEH (Certified Ethical Hacker) aborda en 22 módulos todas las técnicas y herramientas de Seguridad y Hacking Etico para certificar el examen 312-50 de EC-Council.

No es ninguna novedad que las computadoras en todo el mundo están siendo victimas sistemati-zadas del hacking Esta práctica no sólo se ha globalizado, sino que se está convirtiendo en una disciplina tan masiva, que los atacantes pueden comprometer un sistema entero, robar todo material valioso y luego eliminar sus huellas en cuestión de minutos.La misión de un Ethical Hacker es, entonc-es, ayudar a las organizaciones a tomar las medidas necesarias para prevenir estos ataques, atacando al sistema por sí mis-mo; siempre manteniéndose dentro de los límites que impone la legalidad. La filosofía es muy simple: atrapar a un ladrón, pen-sando como tal. A medida que la tecnología avanza y las organizaciones dependen cada vez más de ella, la seguridad de la infor-mación está alcanzando niveles críticos de supervivencia.Si el hacking involucra creatividad y un pensamiento fuera de los marcos predeci-bles, entonces las pruebas de vulnerabilidad y auditorías de seguridad no asegurarán la tranquilidad de una organización. Para asegurar que las organizaciones cuentan con normas adecuadas de seguridad, deben adoptar una política de defensa más pro-funda. En otras palabras, deben penetrar sus propias redes y vulnerar sus medidas de seguridad para dejar expuestas sus vul-nerabilidades.

La definición de ‘Ethical Hacker’ es muy similar a la de ‘Penetration Tester’. El Ethi-cal Hacker es un individuo usualmente empleado por la organización, alguien de confianza para tomar las riendas e intentar penetrar las redes y/o sistemas informáti-

cos utilizando los mismos métodos que uti-lizan los Hackers. El Hacking es un delito en la mayoría de los países del mundo. Cuando es llevado a cabo por pedido explícito en un contrato entre un Ethical Hacker y una organización, se vuelve legal.

EH (Certified Ethical Hacker) es la certi-ficación oficial de Hacking ético (http://www.eccouncil.org/CEH.htm). El Hacker Ético es la persona que lleva a cabo inten-tos de intrusión en redes y/o sistemas uti-lizando los mismos métodos que un Hacker. La diferencia más importante es que el Hacker Ético tiene autorización para reali-zar las pruebas sobre los sistemas que ataca. El objetivo de esta certificación es adquirir conocimientos prácticos sobre los sistemas actuales de seguridad para convertirse en un profesional del Hacking ético.

DescriPción Del curso Este curso llevará al estudiante a un entor-no interactivo, donde se les mostrará como explorar, probar, “Hackear” y asegurar sus propios sistemas. El entorno intensivo del laboratorio da a cada estudi-ante un profundo conocimiento y experiencia práctica con los actuales sistemas esenciales de seguridad. Los estudiantes empezarán por entender como funcionan las defensas periféri-cas y posteriormente serán llevados a explorar y atacar sus propias redes. Luego los estudiantes aprenden como los intrusos escalan privilegios y que pasos se pueden tomar para asegurar un sistema. Los estu-diantes también aprenderán sobre la Detec-ción de Intrusos, Creación de Políticas, Ing-eniería Social, Ataques DDoS, Ataques de SQL Injection, Creación de Virus y muchas técnicas más. Cuando el estudiante termina este curso, tiene entendimiento y experi-encia en Ethical Hacking (Hackeo Ético).Este curso lo prepara para el examen 312-50 de EC-Council para la certificación de Ethi-cal Hacker.

ec-councilEl Consejo Internacional de Consultores de Comercio Electrónico (EC-Council®), es miembro de una organización internac-ional de académicos, industriales y profe-

sionistas del e-Business. Entre los miem-bros se encuentran profesionales de todos niveles, de diversas áreas y de una amplia gama de industrias. Entre ellos se incluyen áreas especializadas, tales como educación, tecnología de información, salud, manufac-tura, finanzas, comunicaciones y guberna-mental.

EC-Council proporciona habilidades y cer-tificación profesional para desarrollar e in-crementar el conocimiento, las habilidades y el crecimiento profesional de sus miem-bros. EC-Council ofrece diversas opciones para aspirar a y para practicar el Comer-cio Electrónico, para adquirir habilidades identificadas como importantes estándares de la industria Web para el Comercio Elec-trónico. EC-Council ofrece cinco tipos de certifica-ciones:

1. Certified e-Business Associate2. Certified e-Business Professional3. Certified e-Business Consultant4. E++ Certified Technical Consultant.

5. Certified Ethical HackerEstablecido en USA, y con oficinas centrales en Nueva York, EC-Council cuenta con miembros y afiliados alred-edor del mundo. Con el cre-

cimiento que se proyecta, de direcciones de sitios Web, de

aproximadamente 10 millones a 35 millones en los últimos años, hay un gran aumento en la demanda de profesionistas capacitados.

» Por Gustavo Rodolfo Sepulcri Chief Security Officer | CEH Security Consultants

EC-Council certificó a IT professionals de las siguientes organizacionescomo CEH.

novell Canon Hewlett Packard US Air Force Reserve US embassy Verizon PFIzeR HDFC bank University of memphis microsoft Corporation Worldcom Trusecure US Department of Defense Fedex Dunlop british Telecom Cisco Supreme Court of the Philippines United nations ministry of Defense, UK nortel networks mCI Check Point Software KPmG Fleet International Cingular Wireless Columbia Daily Tribune Johnson & Johnson marriott Hotel Tucson electric Power Company Singapore Police Force PriceWaterhouseCoopers SAP Coca-Cola Corporation Quantum Research US military Ibm Global Services UPS American express FbI Citibank Corporation boehringer Ingelheim Wipro United States marine Corps Reserve bank of India US Air Force eDS bell Canada SonY Kodak ontario Provincial Police Harris Corporation Xerox Philips electronics U.S. Army Schering Accenture bank one SAIC Fujitsu Deutsche bank

La certificación CeH esta compuesta por 22 módulos, donde se desarrollan todo tipo de técnicas y prácticas como:

· Legalidad y Ética· Footprinting· Scanning· enumeracion· System Hacking· Troyanos y backdoors· Sniffers· Denial of Service· Ingenieria Social· Session Hijacking· Hacking Web Servers· Vulnerabilidades en aplicaciones Web· Tecnicas de Password Cracking basado en Web· SQL Injection· Hacking Wireless· Virus y Gusanos· Seguridad Física· Linux Hacking· evadiendo Firewalls, IDS y Honeypots· buffer overflows· Criptografía· Penetration Testing

esta certificación es otorgada por eC-Council (www.eccouncil.org)

Para más información sobre ethical Hacking, la empresa Security Consult-ants ofrece los siguientes cursos (Ver calendario en página 15):

C E H (Certified Ethical Hacker)Duración: 40 horasFecha: Agosto: Dias Jueves. Comienzo Jueves 17. Horario 19 a 22 hs.Días sábados. Comienzo Sábado 19. Horario 9 a 13 hs. Fecha Agosto: Días Martes. Comienzo Martes 15. Horario 9 a 13 hs.

Curso Ethical HackingDuración: 15 horasFecha: Agosto: Días Lunes/Miércoles/Viernes. Comienzo Lunes 7. Horario: 19 a 22 hs. Fecha Agosto: Días Lunes /Miércoles/Viernes. Comienzo Lunes 14. Horario 09 a 13 hs.

6 Security&technology | AGOSTO 06

Hacia una verdadera administración de los riesgosde la información

» Por Edson Vittoriano Piuzzi

¿Por qué aDMinistrar los riesgosDe la inforMación?El valor de la información es innegable para toda organización en nuestros días. Clara-mente, su uso apropiado puede establecer diferencias fundamentales en los resultados que obtendrá una determinada organiza-ción. Sin embargo, durante tantos años nos hemos empeñado en ponerla al alcance de todos que hoy el paradigma ha cambiado:

¿CóMO rESguArdAMOS ESTE ACTIvO TAN rEL-EvANTE PArA LA OrgANIzACIóN?Impulsado por la coyuntura generada por la amenaza “hacker”, el resguardo de la infor-mación fue abordado entonces bajo un pris-ma tecnológico. Esto derivó en la aparición de infinidad de nuevos dispositivos de con-trol como firewalls, ids, AAA, etc. Lo cual, a su vez, generó la necesidad de capacitación para incorporarlos a las plataformas ya ex-istentes, pero además dejó de manifiesto la necesidad de producir un cambio cultural dentro de la organización, toda vez que por muy intrincados que sean los controles tec-nológicos, si las personas no respetan o no conocen la relevancia de los valores que pro-tegen, difícilmente les darán el tratamiento adecuado. En este punto el problema del resguardo de la información creció a magni-tudes insospechadas.

Era evidente que esto sucedería, la socie-dad digital “está en pañales” y a medida que va avanzando deja en evidencia sus benefi-cios, pero también los nuevos desafíos que supone. Ninguna organización es ajena a este proceso.

La nueva magnitud del problema sugiere la necesidad de una “cirugía mayor”. Si con-sideramos que la información es como la sangre de cualquier organización, es decir, fluye a través de ella activando y detenien-do procesos, modificando decisiones, etc., etc. en pocas palabras generando movimien-to, pareciera ser necesaria la aplicación de recursos infinitos. Claramente, esto no es posible. Así las cosas:

¿COMO PrIOrIzAMOS dONdE “INyECTAr”rECurSOS?Es necesario realizar un análisis de los ries-gos asociados a la información y como im-pactan en los procesos críticos del negocio, para realizar una apropiada administración de ellos.

¿Por qué es necesario conseguir el aPoyo gerencial?

Prácticamente todas las iniciativas em-

prendidas dentro de la organización deben ser atendidas por el gerente. Al menos eso es lo que declara la interminable procesión de consultores o “emprendedores internos” que desfila frente a su escritorio presentán-dole situaciones apocalípticas, fundamen-tando la viabilidad de su ocurrencia y pre-sentado alguna metodología o norma para solucionarla que no tendrá éxito alguno si no existe irrestricto compromiso gerencial. Si bien, existe algo de verdad en esta forma de abordar el tema, no es menos cierto que la principal preocupación del gerente es el negocio y su mayor interés está en trabajar en esa línea. Por tanto, es necesario mostrar como la administración de riesgos agrega valor y como contribuye a la obtención de los objetivos de negocios.

Aun demostrándolo, esta será sólo uno más

de una vasta gama de factores que deben ser observados por el gerente. No obstante, debido al carácter de “cambio cultural” que este tema supone, su apoyo debe ser completo, pero esto no significa que deba participar de innumerables reuniones, dic-tar interminables charlas o definir proced-imientos operativos. Al igual que la infor-mación que espera recibir del desarrollo de proceso, su participación debe ser precisa y clara, pero por sobretodo útil, oportuna y coherente.

Una vez conseguido este apoyo, el equipo de trabajo debe ser capaz de mostrar “en terreno” de qué manera los recursos autori-zado para administración de los riesgos, son un apoyo real a la estrategia definida por la gerencia para alcanzar sus objetivos de negocios.

¿cóMo Mostrar cohesión entre los objetivos De la aDMinistración De riesgos De inforMación y los objetivos Del negocio?Implantando una serie de medidas asocia-das a mejorar o resguardar la seguridad de la información, midiendo su desempeño y correlacionándolo con los resultados de im-plantación de la estrategia general.

Para esto es necesario crear un sistema de gestión que permita controlar los diversos aspectos de un tema que tiene tantas aris-tas, pero…

¿COMO EvALuAr LA CALIdAd dE SISTEMA dE gESTIóN dE rIESgOS dE INfOrMACIóN?Existen normas y buenas prácticas asociadas a la construcción de este tipo de sistemas que pueden ser utilizadas como marco de referencia. Incluso algunas de ellas, como la Norma Británica BS7799 son auditables

El valor de la información es innegable para toda organización en nuestros días. Claramente, su uso apropiado puede establecer diferencias fundamentales en los resultados que obtendrá una determinada organización. Sin embargo, durante tantos años nos hemos empeñado en ponerla al alcance de todos que hoy el paradigma ha cambiado.

7

por entidades externas. Sin embargo, la mayor parte de los estándares internacion-ales consideran aspectos que van desde la sensibilización del personal hasta la temas de índole legal.

En este punto vale la pena plantearse la siguiente pregunta:

¿es Posible incorPorar este tiPo DesisteMas De gestión, si la organización no consiDera relevantes este tiPo De variables Para la MeDición De suDeseMPeño?En la desesperación por implantar algo, mu-chos se han sentido tentados a convertir a la administración de riesgos de Información en un “presupuesto”, al cual cargan horas de cursos, dispositivos de prevención, con-sultorías, etc. y, por tanto, “medible” sólo en términos financieros. Frente a esta visión reducida, la reacción de las organizaciones modernas es comprender que su éxito global no depende única y exclusivamente de la habilidad de sus administradores para mane-jar presupuestos. La consecución de los ob-jetivos es la resultante de una combinación, muchas veces aleatoria, de factores tales como el compromiso de los empleados, la eficiencia de los procesos internos y la fi-delización de los clientes. Estos y otros fac-tores, dispuestos en unaintrincada red de relaciones causa-efecto configuran el esce-nario apropiado para el desarrollo exitoso de una determinada actividad.

En orden a medir el aporte de cada el-emento es necesario tener claro cual será la estrategia a seguir y como será implantada dentro de la organización. Adicionalmente, la implantación mensurable de la estrategia sólo será posible si la organización ha al-canzado un nivel de “madurez” apropiado. En caso contrario será un cúmulo de bue-nas intenciones y deseos que no llegarán a cumplirse.

¿cuáles son los PrinciPales factores a consiDerar Para iMPlantar un sisteMa De aDMinistración De riesgos De inforMación?

CAPITAL HuMANOAl margen de su nivel de automatización, las organizaciones dependen del nivel de co-hesión, compromiso y entusiasmo de los in-dividuos que la componen. Son las personas quienes “quiebran” toda lógica cuando, tra-bajando unidas, se proponen un objetivo. El marco ético, la motivación, la capacitación

y el clima laboral son factores fundamen-tales en el éxito de cualquier organización humana.

Misión y visión

¿PArA quE ESTAMOS Aquí?¿dóNdE quErEMOS LLEgAr?Éstas preguntas pueden parecer de Perogrul-lo, pero la falta de claridad en los objetivos globales produce la sensación de que cada uno de los integrantes de la organización tiene sus propios objetivos sin que exista nada en común. En organizaciones grandes es más difícil mantener la cohesión ya que el individuo tiende a diluirse dentro de la organización. En este punto es necesario recordar cual es la razón de negocios que aúna el accionar de todos los integrantes de la organización.

PrinciPios y valores organizacionales

¿CuALES SON LAS OrgANIzACIONES HuMANAS MáS ExITOSAS EN TérMINOS dE PErMANENCIA EN EL TIEMPO, COHESIóN gruPAL, gENErACIóN dE COMPrOMISO y CONSECuCIóN dE ObjETIvOS?

a. Las congregaciones religiosas cuen-tan su existencia en centenares e incluso en miles de años. Las más complejas y extendidas, a través de una estructur-ada y coherente jerarquía, extienden sus redes de acción a todos los ámbitos del quehacer humano, captando nuevos ad-herentes y generando recursos para con-tinuar con su misión, la cual, por cierto, es muy clara y conocida por todos los integrantes de la organización. El com-promiso que generan es tal que los indi-viduos pasan por alto otros valores en pro del objetivo común que supone un valor superior.b. Las instituciones armadas agrupan a sus individuos bajo el objetivo común de reguardar y servir a la patria. Para alcanzar este objetivo existe una com-pleja y coherente estructura jerárquica la cual se sustenta en un código ético. El nivel de compromiso generado en los individuos es alto.

Ambos tipos de organización tienen en común la definición de principios y valores fundamentales que cada individuo debe observar y poner en práctica. Dicho marco ético es también la “carta de presentación” de la organización frente a la sociedad.

En distinta medida, una organización

comercial busca generar en sus clientes e integrantes un nivel de compromiso que permita asegurar la consecución de los ob-jetivos de negocios. Por tanto, es necesa-rio generar compromiso en los individuos a partir de la identificación de la organ-ización y, por ende, de cada uno de ellos, con valores éticos y sociales que van más allá de los indicadores económicos. Por ejemplo, compromiso con el crecimiento del país, trabajo social, contribución a las artes, contribución a la modernización de la industria, entre otros.

La difusión supone un desafío aparte. Es necesario considerar la gran cantidad de competencia publicitaria. Para posicionar el mensaje en las conciencias es necesario “derrotar” o, al menos, igualar a competi-dores tales como la televisión, la radio, in-ternet, etc. y finalmente, emigran en busca de mejores oportunidades. Preparar a otra persona para que tome los temas que el otro dejó requerirá tiempo y recursos nue-vamente.

La organización debe resguardar sus cono-cimientos y generar nuevas prácticas que vayan constituyendo y reforzando su “Cul-tura Organizacional”.

enfoque De ProcesosLa organización debe ser capaz de conocer como funciona su cadena productiva y los procesos de apoyo correspondientes. Esto permitirá situar indicadores y métricas en aquellos puntos relevantes para la implant-ación de la estrategia. De este modo la estrategia se vuelve algo “palpable”, med-ible.

El enfoque permite además: comprender donde, porque y para que es necesario re-alizar “ajustes” administrativos, insertar tecnología, crear procedimientos, etc. Esto deriva en una optimización de los recur-sos, eficiencia y permite el mejoramiento continuo.

El modelamiento de la organización a partir de sus procesos no debe ser enten-dido exclusivamente en términos de de-sarrollo de sistemas de información com-putacional, sino como una herramienta de apoyo a la gestión integral.

control De gestión integralTradicionalmente, el control de gestión ha puesto énfasis en el desempeño de las vari-ables financieras. Sin embargo, ese enfoque fue modificado con la aparición de modelo Balanced Score Card (BSC), según el cual es necesario conocer los principales aspectos de interés para la organización con el fin de construir el “Mapa Estratégico”. Este último es una representación gráfica de la forma en que las métricas, iniciativas y factores se relacionan de acuerdo a lo dispuesto en la estrategia. En otras palabras, es la forma en que la estrategia se aplicará dentro de la organización.

Un cuadro de mando construido a partir de BSC constituye una poderosa herramien-ta para medir el desempeño de la estrategia en un instante de tiempo determinado.

La versión más tradicional de este modelo emplea cuatro perspectivas para describir una organización: la financiera, de clientes, de procesos internos y de conocimientos. La definición de elementos asociados a cada una de estas perspectivas y su posterior correlación permiten establecer el nivel de “impacto” que puede tener un indicador o iniciativa sobre otro u otros.

conclusiónLa Administración de Riesgos de Informa-ción es una función necesaria en las organ-izaciones modernas. Sus objetivos pueden y deben apoyar los objetivos de negocios en el mediano plazo. Sin embargo, esto no será “visible” en una organización que no considere relevante, para la evaluación de su gestión, aspectos relacionados con la mejora continua de sus procesos internos, la administración de su conocimiento y las necesidades de sus clientes.

Las normas, buenas prácticas y modelos, deben ser entendidas como herramientas al servicios de una transformación or-ganizacional, bajo ningún punto de vista como un fin en sí mismas. La meta no es cumplir una determinada norma, la meta es crecer como organización para ofrecer un mejor servicio a nuestros clientes y mejorar la calidad de vida de todos y cada uno de nosotros.

«El modelamiento de la organización a partir de sus procesos no debe ser entendido exclusivamente en términos de de-sarrollo de sistemas de información computacional, sino como una herramienta de apoyo a la gestión integral.»

» Por Héctor Jara

El término phishing, en informática, denota un uso de la ingeniería so-cial para intentar adquirir infor-mación confidencial, por ejemplo contraseñas, cuentas bancarias, datos de tarjetas, etc. Todo esto obviamente en forma fraudulenta. El accionar del phisher (así es como se suele llamar a los estafadores que utilizan esta técnica) es simple, se hace pasar por una persona o entidad de confi-anza por medio de un contacto electrónico (por ejemplo correo electrónico, mensajería instantánea, páginas web, etc), imitando casi a la perfección el formato, lenguaje e imagen de entidades bancarias, financieras, etc. En todos los casos, la comunicación simula ser oficial, por ejemplo el website de un banco, y suele pedir algún tipo de logueo o informa-ción relevante, alegando motivos diversos. Por ejemplo problemas técnicos, cambio de políticas, posible fraude, etc.

algo De historia nunca viene MalEn un lenguaje más coloquial, el término phishing deriva de la palabra inglesa “fish-ing” (pesca) haciendo referencia en este caso al hecho de “pescar” contraseñas e informa-ción bancaria de distintos usuarios. Otra posible definición del término phishing es la contracción de “password harvesting fish-ing” (cosecha y pesca de constraseñas), pero esto muy probablemente es una acrónimo posterior a la concepción del término.

La primera mención del término phishing data de enero de 1996 en un grupo de noti-cias de hackers, aunque el término apareció tempranamente en la edición impresa del boletín de noticias “2600 Magazine”. Luego fue adoptado por crackers que intentaban “pescar” cuentas de miembros de América OnLine. El término ph es comúnmente uti-lizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como “phone phreaking”.

Pero, ¿cóMo funciona el Phishing?Como mencionaba anteriormente, el phish-er envía una comunicación electrónica que suele tener un link a páginas web oficiales en apariencia de las entidades citadas, pero que en realidad conducen a falsas páginas web, que emulan a la perfección el sitio

original del banco o empresa, con el obje-tivo de “pescar” los datos ingresados por los usuarios.

Del lado del usuario, dado que el puede ver “la página web del banco” y tiene confi-anza absoluta en él, desconociendo a lo que se está enfrentando en realidad, ingresa sus datos con total normalidad.

A partir de este momento el phisher ya dis-pone de los datos confidenciales del usuario. Con ellos potencialmente puede:• Realizar compras por internet con el néme-ro de tarjeta y fecha de expiración de una tarjeta de crédito• Realizar transferencias bancarias, obvia-mente no autorizadas por la víctima• Retirar dinero en efectivo de los cajeros automáticos habiendo previamente clonado laÇ/las tarjetas• Y una larga lista de etcéteras.

algunas técnicas básicas De PhishingDado que la imaginación del hombre no tiene límites, en este caso particular aplicada a ac-tividades fraudulentas, existen muchas for-mas de plasmar en la realidad lo mencionado en párrafos anteriores. En la mayoría de los métodos, además de las “ideas originales” de los phishers se utilizan conceptos técnicos de scripting o coding. Veamos algunos ejem-plos de ello:• Si recibimos un mail con un enlace a un banco, si paramos el puntero del mouse so-bre el link, nos va a indicar el URL donde nos llevará el enlace. Una técnica consiste en hacer que dicho URL esté “mal escrito” o utilizar subdominios del tipo:http://www.banco.com.juancito.comdonde podemos ver que en realidad banco.com es un subdominio de juancito.com• Otro ejemplo para mentir enlaces es uti-lizar direcciones que contengan el carácter arroba (@, si, como la revista). El efecto que se logra con esto es pedir un usuario y contraseña. Supongamos que tenemos el siguiente enlace:http://www.banco.com@members.tripod.com y un usuario desatento llamado Juan, quien recibe un email aparentemente proveniente del banco y conteniendo el enlace mencio-nado. Juan probablemente crea que se conectará a la página del banco, cuando en realidad

se conectará a members.tripod.com solic-itándole usuario y contraseña. Como nuestro querido juan creé que se conectará al banco, ingresará sus datos (seguramente usuario: juan y pass: juan) y el inescrupuloso phisher los “pescará”.Afortunadamente para Juan y para otros usuarios desatentos, a partir de mozilla 4 y del Internet Explorer 5, este método ya no está permitido.• Otro método de phishing consiste en uti-lizar comandos de Javascripts que alteren la barra de direcciones. Esto se logra colocando una imagen del la URL de la entidad legitima en la barra de direcciones o bien cerrando la barra de direcciones original y abriendo una que emule la legítima.• En este método el atacante utiliza el códi-go de la entidad o empresa (en el ejemplo de juan, sería banco) por la cual se hace pasar. En este caso, dirigen al usuario para que in-icie su correpondiente sesión en la página real de la entidad (en nuestro caso http://www.banco.com), donde la URL y los certifi-cados de seguridad parecen correctos. Este método se denomina Cross Site Script-ing y los usuarios reciben un mensaje donde se manifiesta la “necesidad” de verificar sus cuentas junto con un enlace que simula ser la página real, pero en realidad el enlace está modificado. Este es un ataque bastante complejo y si no se tienen lo conocimientos necesarios es bastante difícil de detectar.• Otro problema con las URL ha sido encon-trado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que re-sulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publi-cidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homó-grafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto.

Daños causaDos Por este tiPo De frauDeLos daños causados por el phishing van desde perder acceso al correo electrónico o mensajero instantáneo a manos del phisher hasta sumas de dinero exorbitantes. La faci-lidad con la que usuarios confiados brindan información confidencial a los phishers hace que esta metodología esté en auge. Con la información obtenida los phishers pueden usar esta información propia de los usuarios para crear cuentas falsas en nombre de estos,

gastar el dinero de sus cuentas bancarias, e incluso apropiarse de sus cuentas de correo, etc.

A título ilustrativo, se estima que entre el periodo de mayo de 2004 e igual mes de 2005, en Estados Unidos alrededor de 1,2 millones de usuarios tuvieron algún tipo de pérdidas debido al phishing. En dinero esto equivale a aproximadamente U$D 929 mil-lones. En forma paralela, las empresas per-dieron cerca de U$D 2.000 millones mientras sus clientes eran víctimas.

anti-PhishingComo respuesta natural tanto de los usuarios como de las empresas, existen varias técni-cas diferentes para combatir el phishing, incluyendo la legislación y el desarrollo de tecnologías orientadas a combatirlo. A con-tinuación numeramos algunas:

rESPuESTA SOCIALEs evidente que el eslabón mas débil de la cadena son los usuarios (que raro, no?). Por lo que una estrategia fundamental para combatir el phishing es concientizar a los usuarios sobre como reaccionar ante posibles ataques de phishing. Veamos un ejemplo de esto:

Si un usuario es contactado indicando la necesidad de verificar datos, cuentas, etc, un comportamiento adecuado por parte del usuario sería contactarse el mismo con la empresa que en teoría está mandando el e-mail, o bien el mismo ingresar en la barra de direcciones la dirección web que el conoce que es segura.

rESPuESTAS TéCNICASA esta altura ya existen varios softwares anti-phishing. Usualmente se integran al navegador y trabaja identificando posibles contenidos de phishing en las páginas web o e-mails.

A un nivel corporativo, existen empresas que se dedican a dar monitoreo continuo y análisis de contenidos a otras empresas sus-ceptibles de ser atacadas (bancos, entidades financieras, empresas de e-commerce, etc).

Por otro lado, el Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, sostiene que las técnicas de phishing, al utilizar como componente principal la ingeniería social, van a quedar obsoletas en poco tiempo si

phishing, una amenaza creciente

8 Security&technology | AGOSTO 06

9

se concientiza correctamente a los usuarios. Como ya lo dice el viejo y conocido refrán, “hecha la ley, hecha la trampa” ya hay varios candidatos como ser el pharming a suceder a estos métodos fraudulentos.

rESPuESTAS LEgISLATIvAS y judICIALESObviamente si a todo lo anterior no se lo acompaña con leyes que castiguen esta me-todología, poco se puede hacer. Como primer caso relevante contra un presunto phisher, el 26 de enero de 2004, la FTC (Federal Trade Commission) llevó a juicio a un adolescente de California, quien deliberadamente creó y utilizó una página web con un diseño que aparentaba ser la página de American On-line para poder robar números de tarjetas de crédito. Luego Europa y Brasil continuaron con la práctica que había comenzado losEs-tados Unidos, rastreando y arrestando a pre-suntos phishers.

En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing, el 1 de marzo de 2005. Esta ley federal de anti-

phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cár-cel por un término de hasta cinco años.

MeDiDas a tener en cuenta Para evitar el Phishing• Sospechen de cualquier e-mail que solicite información personal urgente y utilice argu-mentos como por ejemplo:

· Problemas técnicos· Posibles fraudes· Cambios de políticas de seguridad· Promociones· Premios, regalos, etc.

• Por otro lado, estos correos usualmente le advierten que si no se verifican o actualizan sus datos en un determinado tiempo, les can-celarán o bloquearán la cuenta bancaria, o servicio al que se estén refiriendo. Esto fuer-za a que el usuario responda prácticamente en el momento.• Como el phishing se basa en enviar correos en forma masiva a muchos usuarios, muy probablemente el usuario reciba e-mails de personas o empresas que no conoce o bien no es cliente, y de todas formas se le pide la actualización de los datos. Esos casos obvia-mente hay que ignorarlos directamente. En la figura 1, vemos el website de un banco que justamente alerta sobre esto.• Sospechen de los correos que soliciten información personal, como por ejemplo usuario, password o PIN, número de tarjeta de crédito, fecha de expiración, etc.• Usualmente los mensajes de correo elec-trónico de phishing no están personalizados. Por otro lado los mensajes de entidades de

las que si somos clientes usualmente si lo hacen.• Eviten llenar formularios en correos elec-trónicos• No utilicen los links incluidos en los correos electrónicos que aparentemente nos llevan a las entidades correspondientes, sobre todo si sospechamos que el mensaje no es auténtico. Preferentemente coloquen la dirección en la barra de direcciones del navegador a mano.• Antes de ingresar cualquier tipo de dato confidencial, tal como números de tarjetas de crédito, datos bancarios, financieros, etc, asegúrense de que se encuentren en un web-site seguro.

Las páginas web que utilizan protocolos de seguridad, que impiden la captación de datos por parte de terceros no autorizados, se caracterizan porque la dirección web que aparece en la barra de navegación comienza con el protocolo “https” y en la parte inferior de la página aparece un candado. En la figura 2 podemos apreciar el protocolo https en la barra de direcciones.

Igualmente podemos comprobar la veraci-dad del protocolo de seguridad; para ello, po-demos clickear dos veces en el candado de la parte inferior de la página, y nos aparecerá una ventana en la que se identifica a la com-pañía de certificación y al titular del protoco-lo, así como su validez. En la figura 3 vemos una ventana que nos indica que se verifica la identidad del sitio web en cuestión. • Preferentemente tengan el navegador web actualizado y con los últimos parches de seg-uridad instalados.• En caso que reciban un correo electrónico y no estén seguros de la autenticidad del mismo, comuníquense con la entidad que teóricamente les mandó dicho correo para

corroborarlo. Para terminar, es conveniente que re-

visen regularmente sus cuentas bancarias para chequear el estado de los movimientos o transacciones. En caso que haya una que no sea legítima, denunciarla inmediatamente con su banco.

referencias y lectura complementaria

Información sobre phishinghttp://www.honeynet.org/papers/phish-ing/Un caso de estudio del proyecto Honeynet acerca de técnicas detalladas por un par de phishers.

http://www.millersmiles.co.uk/millerSmiles proporciona informes acerca de los ataques más recientes en internet.

http://catarsisresources.iespana.es/Pish-ing1.pdf Información sobre principios basicos de phish-ing.

Información sobre anti-phishinghttp://www.windowsecurity.com/articles/Avoid-Phishing.html¿Cómo evitar fraudes del tipo phishing?

http://www.xml-dev.com/xml/Safebrows-ing/Formas que pueden utilizar las empresas para hacer la navegación vía web más segura medi-ante el uso de aplicaciones libres.

Legislaciónhttp://www.law.duke.edu/journals/dltr/articles/2005dltr0006.htmlTapando los agujeros provocados por el phish-ing: legislación contra tecnología.

Detección y evasión introDucción

Cualquier trabajo de “Ethical Hacking” o “Pen-etration Test” suele ser algo divertido, aunque a su vez, cada una de las tareas involucradas en este tipo de proyectos, representa para el profesional de seguridad de la información,

un nuevo desafió plagado de responsa-bilidades. Si bien el sigilo, suele habit-

ualmente ser parte integral de nuestro trabajo, en ciertas oportunidades, es necesario hacer el máximo esfuerzo por pasar desapercibido frente al equipo de seguridad del cliente, pues solo de este modo estaremos haciendo nuestro mayor esfuerzo por simular un ataque lanzado por intrusos de nivel medio/avanzado intentando no ser detectados.Las técnicas utilizadas por los intrusos al momento de llevar a cabo un ataque sin ser detectados,

son muchas, y las posibilidades de conducir exitosamente un ataque

de este tipo, se encon-trarán la mayoría de las

veces, relacionadas tanto con el nivel de la técnica

utilizada y la pericia o nivel de su ejecutor, como así tam-

bién del tipo de sistemas de seguridad dispuestos en la red o host objetivo.Respecto a este ultimo punto, a menudo las empresas suelen ba-sar gran parte de su estrategia de seguridad en el perímetro, y otro tanto en sus sistemas de

detección de intrusos tradicionales. Si bien ello no es una mala idea, la realidad indica que con frecuencia dicha estrategia puede no ser suficiente, especialmente cuando habla-mos de ataques relacionados con aplicaciones web y/o almacenes de datos.En el presente artículo, vamos a centrarnos en algunas de las prácticas más comunes de detección y evasión de SQL Injection, un ataque del tipo de validación de entrada (Ver Referencias) que ha tenido a mal traer a más de una organización.Como probablemente sea de tu conocimiento, los ataques de SQL Injection suceden a nivel de Capa 7, la llamada capa de aplicación, y como tantos otros ataques, podríamos decir que el problema principal es de tipo semánti-co, o dicho de otro modo, como son interpre-tados determinados caracteres de significado especial para aplicaciones y bases de datos. Un aspecto interesante respecto de este tipo de ataques, es que al menos que tu IDS/IPS se encuentre específicamente configurado a

Mucho se ha escrito ya respecto de técnicas de SQL Injection. El presente artículo, intenta introducir al lector, en algunos de los métodos elementales de detección y evasión, relacionados con este popular ataque.

» Por Hernán Marcelo Racciatti

Figura 1

Security&technology | AGOSTO 06

tips para una inyección Distinta

10

Detección y evasión

tal efecto, los mismos podrían eventualmente no ser detectados.Más allá de su poder heurístico, a menudo los sistemas de detección de intrusos se en-cuentran basados en comportamiento o en firmas. En tal sentido, todo IDS/IPS posee su propio conjunto de firmas o reglas actu-alizables de detección especifica, y si bien es teóricamente posible identificar por me-dio de firmas, las diferentes variantes de un ataque de SQL Injection, a menudo suele ser prácticamente imposible.Pero probablemente a esta altura ya estés pre-guntándote qué significa todo esto. Bien, es simple: la protección contra ataques de SQL Injection por medio de sistemas basados en firmas, generalmente no es “práctico”. Por más completa que resulte tu base de datos de firmas, y suponiendo que con ella se estén cubriendo todas y cada una de las variantes (cosa poco probable), el mantenimiento, las cuestiones de performance y los falsos positivos relacio-nados con dicha configuración, probablemente compliquen su operatividad y sencillamente lo conviertan en una solución “impractica”, sobre todo en grandes entornos corporativos.

¡firMas y Más firMas!Veamos algunos ejemplos. Como probable-mente conozcas, tradicionalmente la detec-ción basada en firmas se encuentra rela-cionada íntimamente con la construcción de expresiones regulares especialmente dispues-tas, a fin de que las mismas nos permitan detectar, tantas variantes de un ataque en particular como sea posible. Un ejemplo típi-co que probablemente hayas visto alguna vez implementado como parte de una solución en SNORT, a menudo luciría del siguiente modo:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”Ejemplo 1 - SQL Injection Detección Bási-ca”); flow:to_server,established;uricontent:”.pl”;pcre:”/(\%27)|(\’)|(\-\-)/ix”; classtype:Web-application-attack; sid:9099; rev:5;)

Como puedes observar, esta regla incluye un Regex simple capaz de detectar algunos pocos de los caracteres utilizados con mayor frecuencia como payload de un ataque SQL Injection (Básicamente comillas simples y guiones):

/(\%27)|(\’)|(\-\-)/ix

Referencias:i No case sensitivityx Ingnorar espacios en blanco

Claro que el mismo es sumamente básico y seria sumamente sencillo de evadir (variando el patrón de ataque, encodeando de un modo distinto, etc.), pero al menos sirve de ejem-plo para que el lector se haga una idea del aspecto de un Regex clásico. Por supuesto que si quisiéramos mejorar algunos aspectos de esta regla, sencillamente podríamos modi-ficar nuevamente el Regex de modo tal que la misma nos permita detectar más variantes en forma tácita, en este caso el típico “‘or 1=1—“. Veamos como sería esto:

/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

Referencias:\w* Cero o más caracteres alfanuméricos o un-derscore(\%6F)|o|(\%4F))((\%72)|r|(\%52) Varias combinaciones de la palabra ‘or’ (May/Min/Hex)i No case sensitivityx Ignorar espacios en blanco

Ahora bien, cuando hablamos de evasión, en general varias son las alternativas. Entre las más comunes se encuentran:

· Evasión básica utilizando diferentes en-coders.· Evasión por medio de la inclusión de es-pacios en blanco.· Evasión vía fragmentación y segment-

ación TCP.· Basada en la imposibilidad de detectar todo.

Llegado este punto y habiendo hecho un repaso general de los sistemas basados en fir-mas, podemos inferir fácilmente que haciendo una simplificación de tal aspecto, cualquier modificación no contemplada en una firma, podría en principio pasar desapercibida para muchos de los IDS/IPS tradicionales.

Por ejemplo, como hemos mencionado, una de las artimañas típicas al momento de lanzar un ataque de SQL Injection, se encuentra rel-acionada con la posibilidad de enviar “strings de comparación verdadera” clásicos como por ejemplo: ‘OR 1=1— Esta claro que ataques de este tipo seguramente se encontraran in-cluidos entre sus firmas de IDS, pero algunas modificaciones podrían eventualmente no es-tarlo en todas las implementaciones:

OR ‘cualquiercosa’ = ‘cualquiercosa’OR ‘cualquiercosa’ = N’cualquiercosa’

Como habrás podido observar en el ejemplo anterior, la inserción de un carácter adicional (N), le dice al SQL Server que el siguiente string, debe ser tratado como nvarchar. Esto no altera en nada la comparación desde el punto de vista de la lógica utilizada (es decir, la igualdad sigue dando un resultado verda-dero), pero si podría alterar la identificación por firmas, pues el string resultante ya no es el mismo. (Si quieres intentar esto, no tienes más que hacerlo con SQL Server a través del Query Analayzer tal como se muestra en la Figura 1) Del mismo modo, los ejemplos dispuestos a continuación, también podrían tener alguna chance de no alterar tu IDS:

OR ‘cualquiercosa’ = ‘cualquier’+’cosa’OR ‘cualquiercosa’ LIKE ‘cualquiercosa’OR ‘cualquiercosa’ LIKE ‘%’OR ‘cualquier%’ > ‘a’OR ‘cualquiercosa’ < ‘z’OR ‘cualquiercosa’ BETWEEN ‘A’ AND ‘Z’

Como ven, cada uno de estos strings luce de forma diferente respecto de firmas estáti-cas, y aunque algunos son muy distintos en-tre si, todos comprenden un “string de con-dición verdadera” capaz provocar situaciones indeseadas en aplicaciones vulnerables. En rigor de verdad, lo que se intenta mostrar con estos ejemplos es que prácticamente por cada firma inventada, una nueva técnica de evasión es factible de ser llevada a cabo. Por otra parte y en rigor de verdad, si bien una posibilidad es la de construir firmas genéri-cas (Por ejemplo detectar la ocurrencia de “or’s”), esto trae aparejado el crecimiento exponencial de los falsos positivos, situación que en ciertas circunstancias podría resultar por ser aun peor que la enfermedad (A men-udo, el OR por ejemplo puede ser parte de código valido!, en otras circunstancias, sen-cillamente podría reemplazarse por su valor encodeado).

una cuestión De esPacios y coMentariosPara ser sincero, las posibilidades son mu-chas y a menudo dependen bastante de la inventiva del testeador o intruso, según sea el caso. Otra técnica de evasión utilizada ha-bitualmente, se basa por ejemplo en la in-terpretación de los espacios como parte de una sentencia SQL. Si bien es cierto que la mayoría de las firmas, tienen en cuenta las combinaciones con espacios, comúnmente utilizadas, aún siguen existiendo opciones no contempladas. En este caso, me estoy re-firiendo a la simbolización de comentarios “like C” utilizada por Microsoft SQL, que si bien es desconocida por gran parte de los desarrolladores SQL, la misma se encuentra implementada y disponible!!!. Veamos el ejemplo: (Figuras 2 y 3)

‘/**/OR/**/1/**/=/**/1--UNION/**/SELECT …UN/**/ION/**/SELE/**/CT …HAVING/**/1=/**/1; EXEC(‘INS’+’ERT INTO...’)

NOTA DE TAPA

Figura 2

Figura 3

11

Como puedes notar, una vez mas hemos in-cluido en estos payloads, varios caracteres que si bien no tienen ingerencia desde el punto de vista de la lógica SQL (¡ son cara-cteres validos y las sentencias reales siguen siendo ejecutables!) podrían tranquilamente no coincidir con la firma tradicional que sue-les incluir en la configuración de tu IDS.

Defensa efectivaBien, detengámonos tan solo unos minutos a fin de mencionar algunas de las contramedi-das que podríamos adoptar al momento de mejorar nuestro poder de detección respecto de este tipo de ataques.

En primer lugar, tal como planteáramos al inicio, si bien teóricamente es posible agre-gar tantas firmas como ataques conozcamos, seguramente muchos de estos quedarían fuera de nuestro ratio de detección, ya sea porque se trata de nuevos ataques, o porque sencillamente es imposible contemplar to-das las opciones. Un acercamiento diferente, podría pasar por generar pocas firmas pero bien genéricas, lo cual requeriría de un “fine tunning” de unos cuantos meses y un cono-cimiento absoluto de la aplicación que esta-mos intentando proteger, de modo tal que nuestro sistema de detección, no impida el trabajar con ella legalmente.

Por otra parte, tanto en el mundo Unix/Linux (En particular Apache Web Server) como en el de Microsoft (En particular IIS), existen una serie de herramientas que podrían colaborar en gran medida al proveer una capa de protección adi-cional al tradicional esquema de firewall/IDS/IPS. En este caso puntual me estoy refiriendo a “ModSecurity(TM)” y “URLScan” respectiva-mente, aplicaciones que aunque bastante difer-entes entre sí, permiten implementar una serie de contramedidas específicas con fines “similares”, es decir detectar/detener ataques en la capa de aplicación (Fun-damentalmente relacionados con HTTP).

Solo a modo de in-troducción, te diré que “ModSecurity(TM)” (Figura 4) (Técnicamente Mod_Se-curity :D ), no es mas que un módulo de Apache que brinda detección y preven-ción de intrusos al servidor Web Apache; actuando como lo que hoy en día se conoce como un “Firewall de Aplica-ciones”. Si bien su funcion-amiento es similar al de los IDS tradicionales, puesto que

este trabaja a nivel HTTP se encuentra mucho mas cercano a los ataques de aplicación que se montan sobre este protocolo, lo cual le permite hacer cosas que “son simples desde el punto de vista del protocolo HTTP, pero muy difícil para un IDS clásico”.

Por su parte, “URLScan” es una herramienta de seguridad que al instalarse como un filtro IS-API en IIS (Figura 5), le brinda a este la capaci-dad de restringir diversos tipos de peticiones HTTP comúnmente procesadas por dicho servi-cio de Internet. Al bloquear peticiones HTTP concretas, dicha herramienta tiene la facultad de poder prevenir la posibilidad de que peti-ciones con un payload potencialmente dañino puedan alcanzar el servidor. URLScan se puede instalar directamente sobre servidores con IIS 4.0 o superior, aunque en el caso de IIS 6.0, te

recomiendo que analices la opción de utilizar las propiedades de seguridad de configuración del mismo IIS, puesto que gran parte de los aspectos de URLScan, ya se encuentran imple-mentados por defecto en IIS 6.0.

conclusiónComo has podido observar en estas pocas líneas, varias son las técnicas que pueden ser empleadas al momento de intentar la evasión de firmas respecto de un tipo de ataque en particular como SQL Injection. Claro esta que en la vida real no todo es tan sencillo y que muchos IDS/IPS seguramente ya habrán pre-visto este tipo de variantes (¿o no?), pero al menos luego de leer estos párrafos, tendrás la oportunidad de revisar la configuración de tus sistemas de detección de intrusos y veri-ficar de forma práctica, el modo en que este tipo de reglas se encuentran implementadas.Por otra parte, queda claro que hoy día re-sulta imperioso la necesidad de incluir una capa más en la defensa de nuestros activos informáticos, la cual se encuentra compues-ta por lo que prominentemente se ha dado en llamar “Firewalls de Aplicación”, un segmen-to sobre el cual sin lugar a dudas deberías fijar tu atención.Por ultimo, nunca esta de mas recordarte que cuando hablamos de SQL Injection, o cualquier otro tipo de ataque relacionado con las aplicaciones y/o almacenes de datos, no existe mejor contramedida que las bue-nas practicas de programación, aplicadas al desarrollo de productos de software, nunca olvides que si una aplicación no es vulnera-ble, probablemente no debas complicarte con cuestiones tales como detección y evasión.

Figura 4

Figura 5

Security&technology | AGOSTO 0612

referencias y lectura complementaria

“SQL Injection – Un Repaso...”(Spanish Paper) http://www.hernanracciatti.com.ar

“Advance SQL Injection in SQL Server Applications”“(More) Advance SQL Injection”http://www.ngssoftware.com

“Manipulating Microsoft SQL Server Us-ing SQL Injection”http://www.appsecinc.com

“SQL Injection Signatures Evasion”“Blindfolded SQL Injection”http://www.imperva.com

ModSecurity(TM) (Open Source Web Ap-plication Firewall)http://www.modsecurity.org

URLScanhttp://www.microsoft.com/technet/secu-rity/tools/urlscan.mspx

M PLS (Multi-Protocol Label Switching) es una solución clásica y estándar al transporte de informacion en las redes, utilizando Routing de paquetes con ciertas garantías de entrega. Aportando velocidad, calidad de servicio y facilitando la gestión de los recursos en la red.MPLS es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servi-cios P. Line, Frame Relay o ATM.

Ofrece niveles de rendimiento diferencia-dos y priorización del tráfico, así como apli-caciones de voz y multimedia. Y todo ello en una única red.

MPLS (Multiprotocol Label Switching) in-tenta conseguir las ventajas de ATM, pero sin sus inconvenientesAsigna a los datagramas de cada flujo una etiqueta única que permite una conmutación rápida en los routers inter-medios (solo se mira la etiqueta, no la direc-ción de destino)

funcionaMiento Del MPls La base del MPLS está en la asignación e in-tercambio de etiquetas, que permiten el es-tablecimiento de los caminos LSP por la red. Los LSPs son simplex por naturaleza (se establecen para un sentido del tráfico en cada punto de entrada a la red); el tráfico dúplex requiere dos LSPs, uno en cada sentido. Al igual que en las soluciones de conmutación multinivel, MPLS separa las dos com-ponentes funcionales de control (routing) y de envío (forwarding). Del mismo modo, el envío se implementa mediante el intercam-bio de etiquetas en los LSPs. Sin embargo, MPLS no utiliza ninguno de los protocolos de señalización ni de encaminamiento defi-nidos por el ATM Forum; en lugar de ello, en MPLS o bien se utiliza el protocolo RSVP o bien un nuevo estándar de señalización (el Label Distribution Protocol, LDP, del que se tratará más adelante). Pero, de acuerdo con los requisitos del IETF, el transporte de da-tos puede ser cualquiera. Si éste fuera ATM, una red IP habilitada para MPLS es ahora mucho más sencilla de gestionar que la solu-ción clásica IP/ATM. Ahora ya no hay que administrar dos arquitecturas diferentes a base de transformar las direcciones IP y las tablas de encaminamiento en las direcciones y el encaminamiento ATM: esto lo resuelve el procedimiento de intercambio de etiquetas MPLS. El papel de ATM queda restringido al mero transporte de datos a base de celdas. Para MPLS esto es indiferente, ya que puede

utilizar otros transportes como Frame Relay, o directamente sobre líneas punto a punto.

Un camino LSP es el circuito virtual que siguen por la red todos los paquetes asignados a la misma FEC. Al primer LSR que interviene en un LSP se le denomina de entrada o de ca-becera y al último se le denomina de salida o de cola. Los dos están en el exterior del do-minio MPLS. El resto, entre ambos, son LSRs interiores del dominio MPLS. Un LSR es como un router que funciona a base de intercambiar etiquetas según una tabla de envío. Esta tabla se construye a partir de la información de en-caminamiento que proporciona la componente de control. Cada entrada de la tabla contiene un par de etiquetas entrada/salida correspon-dientes a cada interfaz de entrada, que se utilizan para acompañar a cada paquete que llega por ese interfaz y con la misma etiqueta. A un paquete que llega al LSR por el inter-faz 3 de entrada con la etiqueta 45 el LSR le asigna la etiqueta 22 y lo envía por el interfaz 4 de salida al siguiente LSR, de acuerdo con la información de la tabla.El algoritmo de inter-cambio de etiquetas requiere la clasificación de los paquetes a la entrada del dominio MPLS para poder hacer la asignación por el LSR de cabecera. En la figura el LSR de entrada re-

cibe un paquete normal (sin etiquetar) cuya dirección de destino es 212.95.193.1. El LSR consulta la tabla de encaminamiento y asigna el paquete a la clase FEC definida por el grupo 212.95/16. Asimismo, este LSR le asigna una etiqueta y envía el paquete al siguiente LSR del LSP. Dentro del dominio MPLS los LSR ig-noran la cabecera IP; solamente analizan la etiqueta de entrada, consultan la tabla cor-respondiente (tabla de conmutación de eti-quetas) y la reemplazan por otra nueva, de acuerdo con el algoritmo de intercambio de etiquetas. Al llegar el paquete al LSR de cola (salida), ve que el siguiente salto lo saca de la red MPLS; al consultar ahora la tabla de con-mutación de etiquetas quita ésta y envía el paquete por routing convencional.La identi-dad del paquete original IP queda enmas-carada durante el transporte por la red MPLS, que no “mira” sino las etiquetas que necesita para su envío por los diferentes saltos LSR que configuran los caminos LSP.

Las etiquetas se insertan en cabeceras MPLS, entre los niveles 2 y 3. Según las es-

pecificaciones del IETF, MPLS debía funcionar sobre cualquier tipo de transporte: PPP, LAN, ATM, Frame Relay, etc. Por ello, si el proto-colo de transporte de datos contiene ya un campo para etiquetas (como ocurre con los campos VPI/VCI de ATM y DLCI de Frame Re-lay), se utilizan esos campos nativo para las etiquetas. Sin embargo, si la tecnología de nivel 2 empleada no soporta un campo para, entonces se emplea una cabecera genérica MPLS de 4 octetos, que contiene un campo específico para la etiqueta y que se inserta entre la cabecera del nivel 2 y la del paquete

(nivel 3).Los 32 bits de la cabecera

MPLS se reparten en: 20 bits para la etiqueta MPLS, 3 bits para identificar la clase de servicio en el campo EXP (ex-perimental, anteriormente llamado CoS), 1 bit de stack para poder apilar etiquetas de forma jerárquica (S) y 8 bits

para indicar el TTL (time-to-live) que sustenta la funcionalidad estándar TTL de las redes IP.

aPlicacionesFunciones de ingeniería de tráfico (a los flu-jos de cada usuario se les asocia una etiqueta diferente) Policy Routing, Servicios de VPN, Servicios que requieren QoS La idea de MPLS es realizar la conmutación de los paquetes o datagramas en función de las etiquetas aña-didas en capa 2 y etiquetar dichos paquetes según la clasificación establecida por la QoS en la SLA.Por lo tanto MPLS es una tecnología que permite ofrecer QoS, independientemente de la red sobre la que se implemente.El eti-quetado en capa 2 permite ofrecer servicio multiprotocolo y ser portable sobre multitud de tecnologías de capa de enlace: ATM, Frame Relay, líneas dedicadas, LANs.De este modo, las cabeceras MPLS permiten cualquier tecnología o combinación de tecnologías de transporte, con la flexibilidad que esto supone para un proveedor IP a la hora de extender su red.

Esta informacion fue sacada de algunos cur-

sos introductorios realizados e informacion re-caudada del sitio de cisco. Ademas de material Bibliografico especializado en el tema.

No prentendo explicar en detalle el MPLS sino mas bien dar una introduccion y generar interes al lector sobre el mismo. Espero en un futuro dar una mini guia de como configurarlo y ver algunos comandos de troubleshooting.

Muchas gracias y hasta la próxima.

MPLS (Multi-Protocol Label Switching) es una solución clásica y estándar al transporte de informacion en las redes, utilizando routing de paquetes con ciertas garantías de en-trega. aportando velocidad, calidad de servicio y facilitando la gestión de los recursos en la red, MPLS es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios P. Line, Frame relay o aTM.

MpLs

» Por Gabriel Schwartz

«Ahora ya no hay que administrar dos arquitecturas diferentes a base de transformar las direcciones IP y las tablas de encaminamiento en las direcciones y el encaminamiento ATM: esto lo resuelve el procedimiento de intercambio de etiquetas MPLS.»

13

• CISSP (Certified Information Systems Security Professional)

• Cisco Pix Firewall

• C E H (Certified Ethical Hacker)

• Informática Forense

• Ethical Hacking

• Seguridad y Hacking Wireless

• Delitos Informaticos

• Seguridad Informática

• SQL Security / SQL Injection

seMinariOs GratuitOs

mas info e inscripcion:www.securityc.com

seminarios@securityc.com

Security&technology | AGOSTO 0614

introDucciónEn 1996, el científico de computadoras Pe-ter Gutmann de la Universidad de Auckland, publicó un artículo donde demostró que la recuperación de datos de memoria es posible con un equipamiento de entre 1000 y 2500 dólares, incluso tras sobreescribir datos.

En agosto de 1999, Dan Farmer (Earthlink) y Wietse Venema (IBM) dieron una clase so-bre GNU/Linux Forensics, en la que mostra-ban cómo extraer información de este S.O. Este hecho dió pie al nacimiento de una de las mas renombradas herramientas: “The Cor-oner’s Toolkit” (TCT).

La elección de Linux como plataforma del análisis forense se debe a diversas causas que lo hacen ideal. Entre estas ventajas, el kernel de Linux tiene soporte nativo para múlti-ples sistemas de archivos, pueden estudiarse sistemas comprometidos que no sean GNU/Linux, tiene soporte para dispositivos de “loopback”, que permiten montar un sistema de archivos dentro de un archivo. También puedo crear una imagen y montarla.

Dos herraMientas clásicas· The Coroner’s Toolkit (TCT) es la herrami-enta de analisis forense por excelencia. Las aplicaciones más importantes del suite son:· grave-robber: captura información sobre i-nodos, luego los procesa “mactime”· unrm y lazarus: recuperación de archivos borrados· mactime: visualiza los archivos, directorios y su timestamp MAC (Modification, Access, y Change)· THC – SecureDelete está basada en la inves-tigación de Gutmann. Su algoritmo efectua una sobreescritura casi 40 veces, flushean-do la caché de disco después de cada una. Luego trunca el archivo y lo renombra alea-toriamente antes de efectuar el unlink(). Se distribuye en el paquete secure-delete, que contiene:

· srm· smem· sfill· sswap

recolección De la eviDenciabACkuP dE dISCOS

Para realizar una copia a nivel de bit de los datos y enviarlos (si es posible) a otro equi-po, necesitamos una herramienta que lo re-

alice a nivel de bits. El comando “dd” lleva a cabo esta tarea, y para aprovecharlo podemos hacer lo siguiente:En el equipo analizado: #dd if=/dev/sda4 of = – | nc equipo_remoto –p 1000En el equipo remoto: #nc –s –p 1000 > sda4En este caso se está haciendo el envío de la im-agen a un equipo remoto por medio de “netcat”, la queridísima navaja suiza del TCP/IP. Esto se realiza sin encriptación alguna, para hacerlo de modo seguro puede utilizarse “ssh”.Captura de archivos y directorios (snapshot): #ls -Rla / > /mnt/floppy

bACkuP dE LA MEMOrIAVolcado de Memoria Fisica: /dev/mem y /dev/kmemVolcado de Procesos: /proc, lsof y showprocVolcado de FileDescriptors: Un FD es un índice a una tabla de descriptores que mantiene el kernel para un proceso Asociada a esa en-trada en la tabla hay información referente al modo en que se está empleando ese archivo.

bACkuP dEL MbrSi se tiene más de un sistema operativo puede ser interesante hacer una copia del MBR, esto es, normalmente los primeros 512 bytes físi-cos del disco rígido.# dd if=/dev/hda of=/boot/arranque.mbr count=1 bs=512Y luego si queremos restaurarlo: # dd of=/dev/hda if=mbr.backup

archivos De auDitoria y el sisteMa De logsLos archivos de configuración son la manera de interactuar con las opciones de las apli-caciones y el sistema, los de aauditoría con-tienen información sobre accesos de usuarios, mensajes del kernel, arranque y parada del sis-tema., errores de ciertos demonios y cualquier otro dato que pueda ser de utilidad y que pue-da registrarse. Muchos de estos se encuentran en los directorios /var/log o /var/adm.

Los logs nos darán información si y solo si fueron concebidos para ello en el proceso de administración, es decir, si bien existen logs por defecto, la correcta configuración de los mismos hará que llegado el caso un auditor tenga datos adecuados como para analizar lo ocurrido.

La gestión de los archivos log comprende la selección de eventos a registrar, los ciclos de rotación, la compresión de los logs y las veri-ficaciones de integridad.

El demonio syslogd ss el encargado de guard-ar informes sobre el funcionamiento de la máquina. Básicamente recibe mensajes de las diferentes partes del sistema (núcleo, progra-mas) y los envía y/o almacena en diferentes localizaciones. Sigue un criterio definido en el archivo de configuración /etc/syslog.confLos logs suelen ser texto plano (Ej: messag-es), pero algunos no lo son (Ej: wtmp, utmp, lastlog, faillog) y se consultan con comandos como “who”, o “last”.

Es difícil detectar si los logs han sido manip-ulados, no puede confiarse en los logs si el sis-tema fue comprometido. Puede decidirse setear

el flag ‘append’ a los archivos de log para evitar que se escriba en otro lugar que no sea al fi-nal, pero esto bloquea la funcionalidad normal del logrotate (Sintaxis: # chattr +a ). Una buena medida de seguridad sería enviar los logs a un host seguro, o bien implementar criptografía además de un syslog remoto.

Debe tenerse sumo cuidado con los rootkits, que son grupos de programas cuidadosamente modificados para resultar indetectables y brindar fácil acceso como root. Estos suelen reemplazar ejecutables del sistema por ver-siones hackeadas que evitarán que se detecte que algo extraño está sucediendo. Es inútil intentar eliminar los problemas de un sistema con rootkit.

recolección De eviDencia· Para la búsqueda de datos en el disco rígido podemos ejecutar (todo como root)Enumeración de setuids: # find / -user +4000Usuarios agregados o modificados (UID 0): # cat /etc/shadow· Chequeo de rootkits: #./chkrootkitFile Slack / Espacio no asignado: # strings /mnt/xxx | grep cadena· Para la búsqueda de datos en la memoria: # strings /proc/kmem | grep cadena· En el proceso de control del sistema:Comandos de diagnóstico: who, lastServicios no autorizados: # ps auxPuertos abiertos: # netstat -an· Herramientas automatizadasTCT (The Coroner’s Toolkit), mencionada an-teriormente.The SleuthKit +Autopsy Forensic Browser, una completa suite de análisis forenseSoluciones LiveCD (FIRE, Auditor, Knoppix-STD, Pentoo)

configuraciones segurasUna configuración segura y un buen harden-ing de plataforma pueden prevenir numerosos incidentes de seguridad. No deben olvidarse los analizadores de logs, herramienta funda-mental en el estudio de la gran cantidad de información obtenida en la auditoría.

En cuando a los Sistemas de Detección de Intrusos, las alternativas más comunes para

Linux son SNORT, AIDE y LIDS. La protección del entorno de ejecución evita muchos prob-lemas, para ellos contamos con parches de kernel (GRSecurity) y parches para los com-piladores (Stackguard). Los chequeos de in-tegridad se hacen mediante herramientas de verificación (Ej: Tripwire, COPS).

antiforenseDebe tenerse en cuenta la existencia de

software y técnicas antiforense, como por ejemplo el hecho de que un intruso analice el filesystem en busca de herramientas de audi-toría e IDS.

Es posible en un alto nivel de escalado de privilegios, deshabilitar el sistema de auditoría al ingresar y reiniciarlo al salir. Un intruso con buenos conocimientos nunca borrará un log, sino que lo modificará. En cuanto al historial del shell (en bash: “.bash_history”), no sirve borrarlo ya que se escribe al desloguearse, pero puede ser desactivado con “unset HISTFILE”.

El uso de herramientas automatizadas para el borrado de logs también pueden ser un problema, pero debe tenerse cuidado con las rutas al compilarlos, ya que no todos los siste-mas son idénticos, por lo tanto no está de mas cambiar algunas rutas por defecto. También se consideran técnicas mas avanzadas para el análisis de la evidencia, como por ejemplo, acudir a la ingeniería inversa para ver qué hace un binario intruso.

recursos De PrograMaciónLos pasos a seguir para un análisis más avan-zado de un sistema GNU/Linux puede incluir el análisis de la memoria física, mapeo de to-dos los procesos en ejecución, recuperación de passwords de sistema y aplicaciones, análisis de variables de entorno.

Algunas bibliotecas de programación don-de encontraremos información útil a la hora de conocer como están organizados los datos en la memoria de nuestro sistema:· · · /usr/src/linux/mm/* (especialmente page_alloc.c)· /usr/src/linux/arch/i386/mm/*

introducción al análisis Forenseen entornos Gnu/Linux

» Por Federico Pacheco

ESTUDIO PrEVIOUn servidor comprometido puede estar troyanizado o con rootkits. es aconsejable extraer el disco de la máquina afectada y montarlo en modo sólo lectura en una estación de análisis. Se debe montar también como “noexec” y “nodev” para que no puedan ser ejecutadas aplicaciones y que se ignoren los dispositivos. Antes de apagar el equipo, no olvidar recoger infor-mación que no ha sido cambiada por los intrusos, hacer en lo posible tres copias del disco (bit por bit), y realizar verificaciones (checksum) sobre original y copias.

15

la iMPortancia en que raDica la auDitoria De sisteMas en las organizaciones son:

· Se puede difundir y utilizar resultados o información errónea si los datos son in-exactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seria-mente las operaciones, tomas de decisiones o la imagen de la empresa.·Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terror-ismo informático.· La continuidad de las operación, admin-istración y organización de la empresa no debe permanecer en un sistema mal dis-eñado, ya que podría convenirse en un se-rio peligro para la empresa.· Existen grandes posibilidades de robo de secretos comerciales, información fin-anciera, administrativa, la transferencia ilícita de tecnología y demás delitos in-formáticos.

· Mala imagen e insatisfacción de los usuarios porque no reciben el soporte téc-nico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario per-cibirá que está abandonado y desatendido permanentemente, esto dará una mala im-agen de la organización.· En el Departamento de Sistemas se ob-serva un incremento de costos, inversiones injustificadas o desviaciones presupues-

tarias significativas.· Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad físi-ca y confidencialidad.· Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.· El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infil-tración, borrado de información y un mal rendimiento.· Las comunicaciones es el principal me-dio de negocio de las organizaciones, una débil administración y seguridad podría lo-grar una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hard-ware y los soportes de datos, así también

como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, in-undaciones, sabotajes, robos, catástrofes naturales, etc.Por su parte la seguridad lógica se refiere a

la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas,

también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de vi-rus.

En la auditoria para aplicaciones de inter-net se produce una verificación de los sigu-ientes aspectos:

· Evaluación de los riesgos de Internet (op-erativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.· Evaluación de vulnerabilidades y arqui-tectura de seguridad implementada.· Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

MetoDología De trabajo De auDitoriaEl método del auditor pasa por las siguientes etapas:

· Alcances y Objetivos de la Auditoria In-formática.· Estudio inicial del entorno auditable.· Determinación de los recursos necesarios para realizar la auditoria.· Elaboración de Plan y de los Programas de trabajo.· Actividades propiamente dichas de la au-ditoria.· Confección y elaboración del informe fi-nal.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría so-brevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confi-anza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.

Por lo cual el auditor o consultor informáti-co ayuda a mantener la privacidad de las re-des, trabajando en los siguientes factores: Disponibilidad - Autentificación - Integridad - Confidencialidad

Es preciso tener en cuenta todos los fac-tores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros deriva-dos de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o

de los sistemas de información para resistir, con un determinado nivel de confianza, to-dos los accidentes o acciones malintenciona-das, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas re-des y sistemas ofrecen o hacen accesibles.

Las principales amenazas o riesgos que en-frentan las empresas que utilizan las redes son:

· Interceptación de las comunicaciones.· Acceso no autorizado a ordenadores o Re-des de ordenadores· Perturbación de las redes.· Ejecución de programas que modifiquen o dañen los datos.· Declaración falsa.· Accidentes no provocados.· Robo de datos.· Infiltración de datos críticos.

los beneficios De un sisteMa De seguriDaD son:

· Aumento de la productividad· Aumento de la motivación del personal· Compromiso con la misión de la compañía· Mejoras de las relaciones laborales· Mejoras del rendimiento· Mayor profesionalismo· Ayuda a formar equipos competentes · Mejora los climas laborares de los RR.HH

Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y con-trolar las actividades relacionadas a man-tener y garantizar la integridad física de los recursos implicados en la función informáti-ca, así como el resguardo de los activos de la empresa”.

etaPas Para iMPleMentar un sisteMa De seguriDaD

· Introducir el tema de seguridad en la visión de la empresa.· Definir los procesos de flujo de la infor-mación y sus riesgos en cuento a todos los recursos participantes.· Capacitar a los gerentes y directivos, con-templando el enfoque global.· Designar y capacitar supervisores de área.· Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.· Mejorar las comunicaciones internas· Identificar claramente las áreas de may-or riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel· Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.

La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratéti-go y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad.

auditoría de seguridaden empresas

» Por Juan E. Pecantet

«El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan en el día a día.»

¿qué es una Wireless lan?En los términos más simples, una red de área local inalámbrica (WLAN) hace exactamente lo que su nombre implica: proporciona todas las funcionalidades y beneficios de las tec-nologías LAN tradicionales, como Ethernet y Token Ring, sin las limitaciones que imponen los cables. De todos modos una WLAN requiere de un medio por donde se desplace la señal de transmisión emitida por un dispositivo, en lugar de usar pares de cobre trenzados o fibra óptica las WLAN usan radiofrecuencias (RF) o luz infrarroja.

El uso de RF es la técnica más popular, al-canzando rangos extensos que permiten cubrir amplias zonas, contando además con un ancho de banda considerable para una mejor trans-misión. WLAN utiliza las frecuencias de 2,4 Ghz y 5 Ghz, estas porciones del espectro de RF se encuentran reservadas en la mayor parte del mundo y no necesitan licenciamiento, es decir, la realización de trámites formales ante una entidad oficial que regule las comunicaciones.

Los sistemas wireless no son completamente “sin alambres”, estos sistemas están diseña-dos y construidos usando microprocesadores y circuitos digitales, estando normalmente conectados a los tradicionales sistemas LAN con cables. Además los dispositivos wireless deben ser alimentados eléctricamente para que dispongan de la energía necesaria para poder codificar, decodificar, comprimir, descomprimir, trans