Segtec.net

Richard Clarke afirma que la falta de preparación de los Estados Unidos  para la anexión de su sistema informático por parte de terroristas podría conducir a un “Pearl Harbour electrónico”.

En su advertencia, el Sr. Clarke pinta un escenario del día del juicio final en el cual los problemas comenzarían con el colapso de una de las redes informáticas del Pentágono.

Pronto los proveedores de servicios de Internet estarían en crisis. Informes de incendios en  refinerías y grandes explosiones en Filadelfia y Houston. El mal funcionamiento de Plantas químicas liberarían nubes letales de cloro. Continuar leyendo “Estados Unidos Podria Colapsar Por Un Ataque Cibernetico En 15 Minutos”

SELinux (Security-Enhanced Linux) es un conjunto de modificaciones para implementar mejores politicas de seguridad. Fue desarrollado inicialmente por la Agencia de Seguridad Nacional (National Security Agency – NSA) de Estados Unidos bajo licencia GPL e incorporado oficialmente al kernel de linux 2.6.

Continuar leyendo “Las Bases de SE Linux”

Resumen. La información es el activo más valioso que poseemos en la sociedad actual. Ésta es cada vez más importante para el desarrollo de las empresas y de negocios exitosos a través de la implementación de sistemas de información. Para proteger la información surge una nueva ciencia, la Informática Forense; ésta persigue objetivos preventivos así como reactivos, una vez se ha dado una infiltración en el sistema.

La Informática forense es una ciencia relativamente nueva y no existen estándares aceptados. Existen proyectos que están en desarrollo como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence.

Informática forense

Actualmente la tecnología esta avanzando a pasos agigantados, y con ella la forma en que todos operamos. Ahora toda la información es almacenada en los ordenadores de manera automática, a diferencia de épocas anteriores en donde la información se almacenaba de manera manual y en papel. Esto conlleva cierto tipo de ventajas y desventajas.

Las ventajas son evidentes, mayor facilidad en el manejo de la información, rapidez en la recolección y análisis de la misma, alta disponibilidad tanto en tiempo como en localidad. Sin embargo, las desventajas y riesgos en los que se incurre no son tan obvios. Entre estos, la vulnerabilidad de la información a ser borrada, la fácil replicación de la información, la explotación de la información por vulnerabilidades en el sistema.

Con todo el riesgo que se corre al manejar información debemos de tener una manera de protegernos y de proteger a las personas de las que mantenemos información. Para poder garantizar las políticas de seguridad y la protección de la información y las tecnologías que facilitan la gestión de la información surge la Informática forense.

Según el FBI, la informática (o computación) forense es la ciencia de adquirir,
preservar, obtener y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.

La informática forense consiste en investigar sistemas de información con el fin de detectar evidencias de vulnerabilidad en los mismos. La finalidad de la informática forense, para un ente que la requiera, es perseguir objetivos preventivos (anticipándose al posible problema) u objetivos correctivos (para una solución favorable una vez que la vulnerabilidad y las infracciones ya se han producido).

En conclusión, la informática forense tiene un papel, en primer lugar, como sistema preventivo. Sirve para auditar, mediante la práctica de diversas técnicas para probar que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores encontrados y poder mejorar el sistema. Así mismo, lograr la elaboración de políticas de seguridad y uso de los sistemas para mejorar el rendimiento y la seguridad de todo el sistema de información.

En segundo lugar, sí el sistema ha sido penetrado, la informática forense permite realizar un rastreo de la intrusión y poder descubrir el daño realizado. Así como la recopilación de evidencias electrónicas, detectar el origen del ataque o las alteraciones realizadas al sistema (fugas de información, perdida o manipulación de datos). Para que, posteriormente, se utilicen las evidencias encontradas en la captura de los criminales que atacaron el sistema, y se proceda de manera legal según las regulaciones de cada país.

Conclusiones

En la actualidad el valor de la información esta en aumento, con ello debemos de preocuparnos más por protegerla. La informática forense nace a raíz de esta preocupación, buscando tanto la prevención como la reacción y corrección a problemas que puedan afectar los sistemas de información.

Para la buena aplicación preventiva de la informática forense es necesaria la realización de auditorías continuas en los sistemas, y la corrección de los errores encontrados en los mismos. También se necesita establecer políticas de seguridad para usuarios y para el uso de los sistemas de información, con el fin de minimizar la posibilidad de infiltraciones por alguna negligencia por parte de los usuarios o alguna falla en los procedimientos.

Por otro lado, en cuanto a la parte reactiva de la informática forense se necesita el uso de programas para la detección de la intrusión en el sistema de información y los cambios realizados a la información (manipulación o borrado). Así como un equipo multidiciplinario para poder cubrir de manera efectiva las áreas que traspasadas durante el ataque y poder rastrear los daños y al atacante.

Para que todo lo realizado en la informática forense sea exitoso, es necesario que se tengan regulaciones jurídicas que penalicen a los atacantes y que pueda sentenciarseles por los crímenes cometidos. Cada país necesita reconocer el valor de la información de sus habitantes y poder protegerlos mediante leyes. De manera que todos los crímenes informáticos no queden impunes.

Referencias

• Ausejo Prieto, Rafael. Análisis forense. http://www.ausejo.net/seguridad/forense.htm.
• Delitos Informáticos Programa Acceso Máximo. http://youtube.com/watch?v=vqu5vR7_Od0.
• Forensics Wiki. http://www.forensicswiki.org/.
• López, O. y Amaya H. y León R. Informática forense: Generalidades, aspectos técnicos y herramientas. Universidad de los Andes. Colombia.
• Pérez Gómez, Elena. ¿Qué es la informática forense o Forensic?. http://www.microsoft.com/spain/empresas/legal/forensic.mspx.
• Recovering and Examining Computer Forensic Evidence. http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm.

Via La Consigna

El DIRSI (Diálogo Regional sobre la Sociedad de la Información) realizó recientemente en Brasilia un seminario sobre nuevas tecnologías y sus desafíos regulatorios. El objetivo de la actividad era brindar un panorama sobre la actualidad regulatoria en los servicios, acceso universal, gestión del espectro radioeléctrico, impacto económico de las TIC, entre otros temas.

Para todos los interesados, les recomiendo echar un vistazo a los materiales y presentaciones de los ponentes, expertos de primerísimo nivel, disponibles y con libre acceso para su descarga en la web de DIRSI.

• “State of the art”: Telecom regulation and new technologies (Dr. Rohan Samarajiva, Lirneasia)
• Midiendo el impacto económico de las TIC (Dr. Raúl Katz, Columbia University)
• Access and Affordability (Dr. Martha Garcia-Murillo, Syracuse University)
• Gestión del Espectro: Demanda y el Debate sobre sus usos Alternativos (Sr. Sebastian Cabello, GSM Association)
• Implications of technological convergence for antitrust policies (Dr. André Rossi, Portland State University y Universidade de Brasilia)

Via YamileSalinas

Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad. Continuar leyendo “Auditar seguridad en el código de aplicaciones”

A lo largo del tiempo se han conocido muchos casos e incidentes de seguridad donde los actores principales son las botnets, y cuyo proceso de reclutamiento de equipos infectados centra sus esfuerzos en explotar las tecnologías con mayor popularidad, entre las que hemos destacado las redes sociales.
Continuar leyendo “Botnets en Twitter”

Para los que no sepan quienes son los chicos de la NSA, os diré que junto con Echelon, son quienes controlan a todos los usurios en Internet; especialmente a los Hackers. La misión de la NSA es espiar todas las comunicaciones e investigar y buscar información en cualquier área tecnológica así como protegerla de amenazas extranjeras que tengan acceso a la información nacional confidencial o clasificada.  Continuar leyendo “Un Juez de los EEUU obliga a la NSA que deje de espiar escuchas telefónicas sin orden judicial”

Estar detrás de un firewall no es garantía de estar seguros al 100%. La seguridad de nuestra red muchas veces no depende de las herramientas o aplicaciones sino de cómo se utilizan las mismas.

Conectarnos a Internet sin contar con las herramientas adecuadas y con un firewall bien configurado es el equivalente a tener una casa sin cerraduras en las puertas. Un intruso puede tomar control de los servidores o de las PCs de los usuarios y tener acceso a información privilegiada. Continuar leyendo “¿Realmente nos protege un Firewall?”

A la hora de evaluar un informe de una auditoría técnica de seguridad podemos entrar a valorar diferentes aspectos, pero en este post vamos a considerar para dicho análisis dos conceptos, por un lado, el contenido y, por otro, el formato.

En cuanto al contenido, obvia decir que, como punto de partida, cualquier informe de auditoría tendrá que dar cumplida respuesta a la expectativa del cliente. Si en algún caso el destinatario no tiene claro cual será el tipo de entregables, la información contenida en el mismo y la utilidad que podrá dar al trabajo, estas cuestiones deberán aclararse antes de comenzar, apoyándose en el archiconocido principio “más vale prevenir que curar”.

Como elementos esenciales se tendrá presente que cualquier hallazgo que se incluya en un informe técnico tendrá que regirse bajo los siguientes principios:

• Las pruebas se realizarán con la profundidad requerida para los objetivos propuestos.
• La auditoría se realizará teniendo en cuenta la legislación vigente.
• Los resultados que se obtengan podrán ser medidos, consistentes, y si se repiten las pruebas se obtendrán resultados similares (repetibles).
• Las conclusiones que se obtengan estarán derivadas únicamente de las pruebas realizadas y serán pertinentes, es decir, estarán en línea con los objetivos de la auditoría.
• El lenguaje empleado será acorde a la audiencia que lo reciba.

EVALUACIÓN DEL CONTENIDO

Existen aspectos imprescindibles en cuanto al contenido y que podrán ser clave a la hora de decidir escoger a un proveedor de seguridad u otro. Estos aspectos podrían ser:

• En cuanto a cada uno de los riesgos identificados:
  • Grado de abstracción deseado para la tipificación del riesgo, se podría denominar “vulnerabilidad tipo” o “problema tipo de seguridad”.
  • Riesgo asociado a la vulnerabilidad identificada en un lugar concreto. (*1)
  • Nivel de detalle de la ocurrencia identificada sobre el riesgo tipo. La descripción deberá de facilitar la posibilidad de repetir el proceso de detección para evaluar si la corrección aplicada es correcta. Para evaluar adecuadamente este punto se podría plantear la siguiente reflexión ¿Es suficiente una herramienta automática para realizar esta tarea?, seguramente NO.
  • Posibilidad de identificar de forma unívoca e inequívoca la ubicación del riesgo hallado, dirección IP, IP y puerto, URL, URL y parámetro afectado, etc.
  • Simplicidad y claridad de la descripción para que alguien “no técnico” pueda interpretarla.
  • La inclusión de enlaces o referencias externas que añaden información clarificadora sobre el riesgo hallado.
  • Recomendaciones y propuestas de solución para cada riesgo identificado matizando las propuestas para que se puedan adaptar a los riesgos concretos hallados en cada trabajo.
• En cuanto a la valoración ejecutiva, informe ejecutivo, etc. Los aspectos básicos que deberá de incluir podrían ser:
  • Resumen introductorio del trabajo realizado, alcance y objetivos.
  • Resumen de la metodología empleada.
  • Explicación del criterio de riesgo utilizado. (*2)
  • Vulnerabilidades clasificadas por Tipo.
  • Vulnerabilidades clasificadas por Riesgo (en grupos).
  • Ocurrencias de vulnerabilidad destacadas, esto puede ser destacadas por su riesgo base o destacadas por alguna otra característica que hace que sea “diferente”.
  • Conclusiones sobre el trabajo realizado apoyadas en hechos contrastables del trabajo. Como parte fundamental de las conclusiones esta el análisis que se ha realizado de la naturaleza de los problemas lo que permitirá evitar o al menos mitigar los problemas identificados para el futuro.
  • Plan de acción a corto, medio y largo plazo, permitiendo al cliente establecer correcciones en distintos periodos de tiempo y priorizando en base a “quick-wins”.
  • Medidas concretas a realizar, el informe propondrá una serie de medidas concretas cuya aplicación permita reducir considerablemente el riesgo, este punto responderá a preguntas como “¿bueno y ahora qué?”, “¿por donde empezamos?

(*1)(*2) Criterios de evaluación del riesgo: se destaca especialmente la necesidad de utilizar un criterio que permita evaluar el riesgo con valores suficientemente objetivos que además tengan presente el tiempo y el entorno sobre el que se encuentran los sistemas con vulnerabilidades. Se intentará huir del sistema AMB (Alto, Medio, Bajo).

Una buena aproximación a estos parámetros es el estándar CVSS (Common Vulnerability Scoring System) que permite evaluar el riesgo en tres grupos de métricas que son:

• Base: características intrínsecas y fundamentales de una vulnerabilidad que son constantes en el tiempo y en el entorno de usuario.
• Temporal: representa las características de una vulnerabilidad que cambian con el tiempo pero no se ven afectadas por el entorno.
• Entorno: evalúa las características de una vulnerabilidad que son relevantes y únicas a un entorno particular del usuario.

Estos valores se combinarán aplicando una formula que dará un valor numérico entre 0 y 10 para el riesgo base, el temporal y el entorno, en los casos en que sea necesario se podrán crear tres grupos 0<4, style=”mso-spacerun:yes”> Bajo, Medio y Alto.

Los fabricantes facilitan su propia evaluación de vulnerabilidades en base al CVSS para sus productos pero, ¿es acertado que un fabricante de software pueda evaluar el riesgo que representa una vulnerabilidad de sus productos? o por el contrario ¿será mejor que un auditor independiente evalúe el riesgo de una forma más objetiva?

¿Por qué utilizar un estándar como CVSS?, el cliente podrá filtrar los riesgos en base a 14 parámetros que permiten definir, acotar y contextualizar las correcciones, algunas de las preguntas que quedarán resueltas con esta evaluación del riesgo serán:

• ¿Es igual de importante una vulnerabilidad en el entorno de producción que en el entorno de desarrollo?
• ¿Puede explotar esta vulnerabilidad cualquiera o tiene que ser un experto en kung fu?
• ¿Este riesgo es accesible desde Internet o tiene que ser un usuario de la red local?
• ¿Esta vulnerabilidad tiene impacto sobre la disponibilidad de mis sistemas?, ¿y con la integridad?, ¿y con la confidencialidad?

Se puede consultar la información detallada en la página oficial del proyecto.

EVALUACIÓN DEL FORMATO

En cuanto al formato general de la documentación, esta deberá de ser flexible, permitiendo realizar búsqueda, adaptarse al contexto del cliente, y ser fácilmente integrable con distintos gestores documentales, gestores de ticketing, etc.

Algunas de sus características por lo tanto podrían ser:

• En el apartado de la flexibilidad será muy positivo dotar a la documentación de opciones para filtrar los riesgos detectados por distintos criterios, referencias cruzadas, tipos de riesgo, elementos donde impactan etc. Además de permitir la generación de gráficos con todos los datos, subconjuntos, etc.

• Uniformidad de los documentos, formatos de cabeceras, tipologías, etc.
• Identificación univoca de los riesgos, incluir un código único para cada riesgo.
• Se podrán filtrar los alcances generando sub-informes en base a urls, rangos de direcciones IP, etc.
• Se podrán generar salidas xml, csv, etc.
• En cuanto al informe técnico, este deberá de contener su propio manual de uso, explicando cada uno de sus apartados, que son, porqué han de existir y que uso se podrá dar a dicha información.
• Idioma, preferiblemente en el idioma solicitado, si es en castellano, en castellano pero no en “spanglish”.
• En cuanto al informe ejecutivo, podría ser un PowerPoint, conteniendo un resumen claro, conciso y directo sobre el trabajo realizado, hallazgos obtenidos, soluciones, plan de acción y nuevos proyectos.

Autor: Juan de la Fuente Costa
Via Auditoría S21sec