agosto 2009 · 55 · www.bsecure.com.mx
INFORME ANUAL DE SEGURIDAD
EMPOWERING BUSINESS CONTINUITY
ENTRE USUARIOS INCONSCIENTES Y POLÍTICAS NO IMPUESTAS Más de la mitad de los 141 profesionales de IT que contestaron la encuesta, consideran que difundir la conciencia de seguridad entre los usuarios e imponer políticas son los retos más grandes a enfrentar este año.
9 AGO O
ACCESO
04 AYUDAN A APROVECHAR LA
08
TECNOLOGÍA
Los expertos de seguridad consideran que difundir la conciencia entre los usuarios e imponer políticas son los retos más grandes a enfrentar.
La administración de la infraestructura y el establecimiento de procesos es en buena parte lo que una organización necesita para aprovechar la tecnología instalada.
05 DESPIDOS IMPACTAN A LA SEGURIDAD EMPRESARIAL
La reducción de la fuerza de trabajo ha impactado la seguridad de las organizaciones.
06 VISA LE ECHA GANAS CONTRA LOS FRAUDES
Llegó a México la tecnología que es responsable de que VISA ofrezca hasta 40% mayor detección de fraudes en sus transacciones.
07 LA PFP PODRÍA INTERVENIR SU MAIL
La nueva ley podrá aplicarse en todo México y según el dictamen el monitoreo pretende recabar información para prevenir delitos.
12 ¿QUÉ PASO DETRÁS DEL ATAQUE A TWITTER?
Ataques de negación de servicio distribuido (DDoS, por sus siglas en inglés) ocurren todo el tiempo, pero atraen la atención del mundo cuando ‘tiran’ a sitios importantes o redes sociales populares, como Twitter.
OPINIÓN
16 ALAPSI FOR BUSINESS PEOPLE
18 LO QUE DEBE SABER LA ALTA DIRECCIÓN SOBRE SEGURIDAD ÁREA RESTRINGIDA
20 RELATO DE UNA AMENAZA AL CIFRADO DE DISCO
03 EN LÍNEA
22 SINNÚMERO
ENLÍNEA BSECURE.COM.MX
INFECTADAS CON ANTIVIRUS FALSO 35 MILLONES DE PC AL MES
Cada mes unas 35 millones de PC son infectadas por primera vez con malware que se hace pasar por antivirus, también llamado rogueware, halló estudio. Esta cantidad de computadoras representa 3.50% del total de PC existentes, según el reporte. Panda Labs liberó los resultados de un análisis que tuvo como objetivo monitorear el comportamiento del rogueware de manera multianual, llamado ‘El negocio del rogueware’. El documento da cuenta de los nuevos métodos de ingeniería social que utilizan los cibercriminales para distribuir el malware a través de Twitter, Facebook, MySpace y Google. Según el estudio, los cibercriminales obtienen unos $34 millones de dólares de ganancias explotando los miedos de los usuarios de PC, ofreciéndoles quitar de su equipo software malicioso si pagan por un software falso de seguridad. Durante el tercer trimestre de 2009 PandaLabs detectó 637,000 nuevos ejemplares de rogueware, lo que indica que se multiplicó por 10 en menos de un año. “El rogueware es muy popular entre los cibercriminales primeramente porque con ello no necesitan robar la información personal de los usuarios ni sus contraseñas o cuentas bancarias para obtener ganancias de sus víctimas”, dijo Luis Corrons, director técnico de PandaLabs. El reporte advierte que, a medida que el rogueware se hace más conocido, es más fácil detectarlo, por lo que los cibercriminales han mutado los ejemplares para dificultar su detección por los antivirus reales. Actualmente, existe alrededor de 200 familias de rogueware y se prevé que continúe creciendo el número.
VEN TINTES POLÍTICOS EN ATAQUES A TWITTER Diversos medios de comunicación citan versiones de expertos que coinciden en que el origen de los ataques a los sitios Twitter, Facebook y Blogger, entre otros, es Rusia. Citando a aun bloguero, medios como la BBC aseguran que el ataque tiene tintes políticos por una simple evidencia: el sitio del bloguero activista a favor de la causa Georgiana, Cyxymu, también fue ‘tirado’ en el ataque. Por otro lado, investigadores de firmas de seguridad informática no ven detrás del ataque a un Gobierno o motivos políticos, desde un punto de vista técnico. Las sospechas son provocadas por la conmemoración del aniversario de la guerra que sostuvo el ejército de Georgia con el ejército ruso, el cual invadió su territorio con el pretexto de defender a los Estados separatistas Osetia del Sur y Abjasia.
Estos y otros artículos en
www.bsecure.com.mx b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
Mónica Mistretta DIRECTORA GENERAL
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Elba de Morán DIRECTORA COMERCIAL Jonathan Hernández Sosa DIRECTOR EDITORIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
TEMA LIBRE
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
EL GALLETERO Jonathan Hernández, editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares VIDEO Fernando Garci-Crespo
BLOGUEROS INVITADOS Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info
DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Sonia Gómez, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Agosto, 2009 B:SECURE 3
ACCESO CHECK POINT AYUDA A CLIENTES A APROVECHAR TECNOLOGÍA
Por Efraín Ocampo
L
a administración de la infraestructura y el establecimiento de procesos es en buena parte lo que una organización necesita para aprovechar la tecnología instalada, reconocieron Jorge Steinfeld, CIO de Check Point y Vicente Amozorrutia, director general de la compañía en América del Norte. Por esa razón, la firma de seguridad de datos, redes y puntos finales ha traído desde Israel a México a Steinfeld, para que hable a los clientes de cómo tener un enfoque total de seguridad y cómo complementarlo con los procedimientos y los procesos adecuados para administrarla de manera eficiente. Al opinar sobre cómo los recortes de personal impactan a la seguridad de las organizaciones, en un entorno económico recesivo, los ejecutivos coincidieron en que con o sin despidos o recesión, si no se están implementando las reglas de seguridad requeridas continuará creciendo el riesgo de comprometer la información corporativa y de los clientes.
4 B:SECURE Agosto, 2009
“Con un enfoque de seguridad total, se puede controlar centralizadamente todo, para saber quién accesa de manera remota a qué información, si copia datos a un dispositivo que no es propiedad de la empresa, qué información copió. Con Check Point hay control de lo que las personas que se van de la organización pueden llevarse”, explico Steinberg. La cabeza de Check Point en México dijo que, aunque ve interés y preocupación en sus clientes por proteger su información especialmente de ex empleados, las empresas no están haciendo inversiones para lograrlo. De acuerdo con Amozurrutia, las compañías están procurando, primordialmente, protegerse de robo de información al monitorear solo a los niveles ejecutivos y de toma de decisiones. En entrevista, el responsable de administrar los proyectos de tecnologías de información de la firma y Amozurrutia, coincidieron en que si la planeación es inexistente en la adopción de una arquitectura de seguridad o de una reingeniería de procesos, habrá brechas con consecuencias imprevisibles. ●
ACCESO DESPIDOS IMPACTAN SEGURIDAD EMPRESARIAL
L
a reducción de la fuerza de trabajo ha impactado la seguridad de las organizaciones, coincidieron 45% de los encuestados en el marco de la Conferencia Black Hat USA 2009. La encuesta aplicada por Breach Security halló que una de cuatro compañías reportaron haber sufrido intentos de hackeo de uno de sus sistemas, independientemente de si el resultado fue exitoso o no. Estas cifras, de acuerdo con la firma de seguridad, demuestran la correlación entre los recientes recortes de personal que han sufrido las empresas durante este año y su capacidad de mantener adecuadamente protegida su infraestructura.
Casi 60% de los encuestados confesaron que a sus compañías les lleva entre una y cuatro semanas reponerse de un ataque de inyección SQL, de cross-site scripting o de otras vulnerabilidades Web importantes. “Las malas condiciones económicas globales han provocado que las organizaciones se concentren en las inversiones mínimas que requieren para apaciguar a los auditores, en vez de implementar soluciones para proteger adecuadamente a la información corporativa y del cliente”, dijo Sanjay Mehta, vicepresidente senior de Breach Security. ●
MCAFEE REFUERZA OFERTA DE SEGURIDAD EN LA NUBE
M
cAfee adquirirá al proveedor de software como servicio (SaaS, por sus siglas en inglés) de seguridad MX Logic, con lo cual reforzará su oferta de servicios entregados mediante la plataforma de cómputo en la nube. La oferta del gigante del software de seguridad ascendió a $140 millones de dólares en efectivo. MX Logic podrá ganar $30 millones más si cumple con ciertos objetivos de desempeño, según el acuerdo que establecieron. Lo que planea McAfee es combinar el portafolio existente de software como servicio de MX Logic con la oferta propia de su Global Threat Intelligence para crear un conjunto de servicios de inteligencia basados en una plataforma de cómputo en la nube. En dicha plataforma de servicios provistos desde la nube, la firma de seguridad planea entregar seguridad para el correo electrónico, seguridad Web, seguridad de punto final y consultoría de seguridad.
McAfee herederá la base de 40,000 clientes de su adquisición, los cuales concentran unos cuatro millones de usuarios finales. El equipo de MX Logic formará parte de la unidad de negocio McAfee SaaS y reportará a su responsable, Marc Olesen. La transacción podría ser finalizada durante el tercer trimestre de este año, pero aún se encuentra bajo aprobación regulatoria. ●
Agosto, 2009 B:SECURE
5
ACCESO VISA MEJORA COMBATE A FRAUDES EN TARJETAS BANCARIAS
Por Fabiola González
L
legó a México la tecnología que es responsable de que VISA ofrezca hasta 40% mayor detección de fraudes en sus transacciones. Se trata de Advanced Authorization, que de acuerdo con Jacinto Cofiño, director de administración de riesgo de VISA para América Latina y El Caribe, consiste en una tecnología antifraude en tiempo real, propietaria de VISA, que para prevenir se alimenta en todo momento de información transaccional a nivel mundial para detectar desde el momento de la transacción cualquier posibilidad de fraude y proveer a las instituciones financieras indicadores de riesgo de forma que éstas decidan si autorizan o deniegan la transacción. Advanced Authorization analiza patrones de fraude, comportamientos inusuales y transacciones con el fin de prevenir y detectar la actividad fraudulenta a medida que ocurre. Analizando constantemente los patrones estadísticos y actualizando los modelos para crear códigos de condición de
6 B:SECURE Agosto, 2009
riesgo para la cuenta, esta tecnología permite tomar decisiones de autorización en el mismo punto de venta. La tecnología, que opera en Estados Unidos desde hace un lustro, se estrenó en la región latinoamericana (particularmente Brasil) hace alrededor de año y medio, pero es apenas que se está introduciendo en México, con su implementación en los bancos más importantes. Para medir el nivel de eficacia, Cofiño señaló durante entrevista exclusiva: “La herramienta ha detectado y prevenido fraudes entre 20% y 40% adicional a lo que los bancos ya lograban detectar. Cabe mencionar que Advanced Authorization funciona también para transacciones realizadas a través de Internet, según dijo el directivo, con la intención de colaborar a minimizar los rangos de fraude en la Red, aún el “ganador” en cuanto a niveles de transacciones fraudulentas por ser el medio más nuevo. ●
ACCESO INSTITUCIONES CREDITICIAS REPRUEBAN EN SEGURIDAD
G
ran parte de las instituciones de crédito mexicanas no cuenta con los controles necesarios para el cumplimiento de estándares en materia de seguridad informática, de acuerdo con estudio. La investigación instrumentada por la firma BMC Seguridad Informátca tuvo como propósito analizar las leyes aplicables para regular este sector en lo tocante a la seguridad y encontró que la causa de dicha problemática es la ausencia de asesoría, debido a la cultura reactiva que impera en América Latina. En el marco del Tech Day organizado por la compañía, recordó a las instituciones de crédito que las tecnologías pueden apoyarlas en el cumplimiento de regulaciones, agilizar sus procesos y proteger la información de sus clientes. En el evento, se discutió sobre los riesgos de la banca móvil y la tendencia de que evolucione a la banca de audio, impulsada por la existencia de mejores tecnologías de reconocimiento de voz que garanticen su autenticidad y la privacidad de la información. Elías Cedillo, director general de BMC Seguridad Informática, consideró que la ausencia de controles para el cumplimiento de estándares
en el sector crediticio mexicano siempre implica sanciones y pérdidas para las instituciones. “Nuestras expectativas son crear en las instituciones de crédito una conciencia más amplia sobre seguridad en los datos de sus clientes, promover la tecnología que brinda respuesta a las necesidades en el cumplimiento de estándares y brindar asesoría en el tema jurídico-informático”, explicó Cedillo. La firma actualmente integra un portafolio de servicios profesionales, consultoría jurídico-informática y reuniendo a personal especializado para tal propósito. ●
LA PFP PODRÁ INTERVENIR SU E-MAIL
L
a nueva ley podrá aplicarse en todo México y según el dictamen el monitoreo pretende recabar información para prevenir delitos.La Cámara de Diputados mexicana dio a conocer que aprobó con 232 votos a favor, 75 en contra y cinco abstenciones el dictamen de la minuta por la que se expidió la Ley de la Policía Federal, la cual le confiere a la institución policiaca la atribución de intervenir llamadas telefónicas y correos electrónicos. El dictamen fue corregido por el Senado de la República para puntualizar que el comisionado de la Policía Federal (PF) no podrá dar instrucción alguna sin previa autorización del Ministerio Público. El Congreso de la Unión anunció que la ley será enviada al Ejecutivo Federal para su promulgación y publicación en el Diario Oficial de la Federación. “Entre las atribuciones de la nueva policía destacan investigar la comisión de delitos bajo la conducción del Ministerio Público, en términos de las disposiciones aplicables, recabar infor-
mación en lugares públicos, para evitar el fenómeno delictivo, con el apoyo de personas, medios e instrumentos y cualquier herramienta que resulte necesaria para la generación de inteligencia preventiva”, comunicó la Cámara de Diputados. Como resultado de esas atribuciones, la PF podrá solicitar por escrito a la autoridad judicial la intervención de comunicaciones privadas para el cumplimiento de sus fines de prevención del delito así como realizar acciones de vigilancia, identificación, monitoreo y rastreo en la Red Pública de Internet sobre sitios Web. La nueva ley ha motivado cuestionamientos por parte de algunos diputados, como Claudia Cruz del Partido de la Revolución Democrática (PRD), quien puso en tela de juicio la legalidad de intervenir comunicaciones con el fin de prevenir delitos. ●
Agosto, 2009 B:SECURE
7
INFORME ANUAL DE SEGURIDAD
ENTRE USUARI INCONSCIENTES Y POLÍTICAS NO IMPUESTAS
Más de la mitad de los 141 profesionales de IT que contestaron la encuesta, consideran que difundir la conciencia de seguridad entre los usuarios e imponer políticas son los retos más grandes a enfrentar este año. Por Jonathan Hernández Sosa
8 B:SECURE
Agosto, 2009
D
IOS
S
e
Agosto, 2009 B:SECURE 9
L
¿Cuáles son los principales retos en materia de seguridad it que enfrenta? os encargados de resguardar la seguridad de las organizaciones, tanto privaPÚBLICA PRIVADA das como públicas, han hablado. Sus El manejo de la complejidad de la seguridad 38.46% 25.00% retos, miedos y pérdidas —aún cuanImpedir las intrusiones en los datos por parte de atacantes externos 50.00% 38.54% do muchos no saben los montos exactos— Impedir el robo de datos por parte de empleados y demás personas internas 46.15% 58.33% quedan al desnudo en la encuesta realizada Calibrar el riesgo 15.38% 14.58% por Netmedia Research a 141 profesionales Imponer políticas de seguridad 61.54% 58.33% de IT en México. Controlar el acceso de los usuarios a sistemas y datos 46.15% 37.50% En materia de retos, para la mayoría de los Difundir la conciencia de seguridad entre los usuarios 57.69% 62.50% representantes de la iniciativa privada, el deLograr que la Dirección General se interese 26.92% 28.13% safío está en la difusión de la conciencia en materia de seguridad (62.5%), seguido del Conseguir suficiente financiamiento 26.92% 19.79% de imponer políticas (61.54%) y lograr que Obtener experiencia y recursos profesionales 26.92% 17.71% los empleados no roben datos de la empre- Fuente: Estudio realizado por Netmedia Research “Encuesta nacional de seguridad 2009” a 141 profesionales IT en México. Se permitieron respuestas múltiples. sa (58.33%). Jorge Luis Ibarra, director de sistemas del Sistema de AdminisEn cuanto al sector gubernamental, más de la mitad de los respondientes señala que sus grandes preocupacio- tración Tributaria (SAT) está de acuerdo con los colegas de su secnes radican en imponer políticas (61.54%), difundir la conciencia tor, y afirma que los órganos del gobierno padecen la amenaza de seguridad entre los usuarios (57.69%) e impedir intromisiones latente del uso indebido de la información que resguardan. “Dentro de las organizaciones, quien legítimamente debe hacer en datos por parte de atacantes externos (50%). “Impedir el robo de datos por parte de empleados” ocupa un importante cuarto lu- uso de la información puede tener la tentación de usar esa misma información para otros fines que no son legítimos. Las auditorías gar con 46.1% de las respuestas. son uno de los elementos de importan¿Qué tipos de intromisiones ocurrieron en su organización durante el 2008? cia más alta de la organización, para conocer cómo están usando la información PÚBLICA PRIVADA quienes son responsables de su resguarAtaques a las vulnerabilidades del sistema operativo 30.77% 32.29% do”, señala Ibarra. Violaciones al lenguaje de escritura Web (basado en Java o en ActiveX, por ejemplo) 19.23% 7.29% Manipulación de las aplicaciones de software
26.92%
9.38%
Secuestro de recursos IT para participar en una red bot
11.54%
3.13%
Tráfico con materiales ilícitos o con datos ilegales
19.23%
17.71%
Negación de servicio
23.08%
19.79%
Intrusión en aplicaciones móviles inalámbricas
19.23%
6.25%
Intrusión a bases de datos
11.54%
3.13%
Brechas detectadas en el sistema de administración de información
26.92%
15.63%
Robo de identidad
7.69%
10.42%
Phishing
15.38%
23.96%
Virus
73.08%
69.79%
Gusanos
53.85%
55.21%
Ciberextorsión
0.00%
4.17%
No sabemos (Salta a la pregunta 7)
0.00%
10.42%
Ninguna (Salta a la pregunta 7)
7.69%
9.38%
Otras (especificar, por favor)
7.69%
2.08%
Fuente: Estudio realizado por Netmedia Research “Encuesta nacional de seguridad 2009” a 141 profesionales IT en México. Se permitieron respuestas múltiples.
10 B:SECURE
Agosto, 2009
LOS MIEDOS Las amenazas contra las que defenderán en el sector privado, en orden de relevancia, están encabezadas por combatir el robo de datos de clientes por personas externas, seguido del temor a los virus y gusanos, el acceso no autorizado a los archivos y datos por parte de empleados, al malware, el robo de propiedad intelectual, al spam y al robo o pérdida de dispositivos móviles con datos corporativos. David Orellana, director de tecnología en Mexicana de Aviación, precisó que “siempre hay una capa de virus, código malicioso y ataques a la página de Internet, que son el día a día de la ocupación en materia de seguridad, pero el que más
â&#x20AC;&#x153;TENGO MIEDO DE...â&#x20AC;? Los respondientes a la encuesta enlistaron, en orden de relevancia, las principales amenazas de las que buscan protegerse: SECTOR PRIVADO: t 3PCP EF EBUPT EF DMJFOUFT QPS QBSUF EF QFSTPOBT FYUFSOBT t 7JSVT P HVTBOPT t "DDFTP OP BVUPSJ[BEP B MPT BSDIJWPT Z EBUPT QPS QBSUF EF FNQMFBEPT t 4QZXBSF NBMXBSF <TPGUXBSF NBMJDJPTP> t 3PCP EF QSPQJFEBE JOUFMFDUVBM t 4QBN t 1ÂąSEJEB P SPCP EF EJTQPTJUJWPT N§WJMFT DPO EBUPT DPSQPSBUJWPT SECTOR PĂ&#x161;BLICO: t 7JSVT P HVTBOPT t "DDFTP OP BVUPSJ[BEP B MPT BSDIJWPT Z EBUPT QPS QBSUF EF FNQMFBEPT t 4QZXBSF NBMXBSF <TPGUXBSF NBMJDJPTP> t 3PCP EF EBUPT EF DMJFOUFT QPS QBSUF EF QFSTPOBT FYUFSOBT t /FHBDJ§O EF TFSWJDJP <JOVOEBDJ§O EF F NBJMT> V PUSPT BUBRVFT B MB SFE t 4QBN t 3FEFT CPU RVF UPNBO DPOUSPM SFNPUP EF SFDVSTPT *5
preocupa al negocio es la parte de la ingenierĂa social y la fuga de informaciĂłn confidencial.â&#x20AC;? En cuanto al sector pĂşblico, tambiĂŠn en orden de importancia, el interĂŠs estĂĄ en defenderse, antes que nada, de virus y gusanos. En segundo lugar busÂżQuĂŠ porcentaje del presupuesto IT de can protegerse del acceso su empresa se destinĂł el aĂąo pasado a no autorizado a los arseguridad de la informaciĂłn? chivos y datos por parte 1ž#-*$" 13*7"%" de empleados, sypware y 0.5% 19.23 10.42 otro tipo de malware, asĂ 2.5% 7.69 12.5 como del robo de datos 3% 7.69 3.13 de usuarios por personas 4% 3.85 3.13 externas a la organiza5% 0 10.42 ciĂłn y los ataques de ne8% 3.85 3.13 gaciĂłn de servicio a sus 10% 7.69 13.54 sistemas. 15% 11.54 8.33 Esto se refleja en la pre20% 7.69 5.21 gunta: ÂżquĂŠ tipo de intro25% 0 3.13 misiones o espionaje ha 30% 3.85 2.08 sufrido su organizaciĂłn 35% 7.69 1.04 en 2008? La respuesta, 40% 0 3.13 tanto en organismos pri P N¸T 3.85 0 vados y pĂşblicos, fueron
¿Cuånto dinero perdió su organización a causa de la seguridad? )BTUB E§MBSFT
1ž#-*$"
13*7"%"
19.23%
8.33%
%F B E§MBSFT
7.69%
3.13%
%F B E§MBSFT
0.00%
0.00%
.¸T EF E§MBSFT
0.00%
2.08%
-P EFTDPOP[DP
26.92%
41.67%
1SFGJFSP OP NFODJPOBSMP
11.54%
11.46%
4JO SFTQVFTUB
34.62%
33.33%
Fuente: Estudio realizado por Netmedia Research â&#x20AC;&#x153;Encuesta nacional de seguridad 2009â&#x20AC;? a 141 profesionales IT en MĂŠxico. Se permitieron respuestas mĂşltiples.
virus (69.79% y 73.08% respectivamente) y gusanos (55.21% y 53.85%). CONCLUSIONES La percepciĂłn de seguridad sigue siendo muy similar a 2008. El ataque de virus, gusanos y accesos no autorizados (con fuga de informaciĂłn) son los principales temores de la gente de IT desde hace aĂąos y eso no cambiarĂĄ en 2009. Adicionalmente, los empleados autorizados y no autorizados son la principal causa de intrusiones; y la mayorĂa de los presupuestos de seguridad se mantendrĂĄn o serĂĄn mayores. Es de reconocer que el CEO y la direcciĂłn general estĂĄn muy metidos en la decisiĂłn del presupuesto y polĂticas de seguridad de la empresa, lo cual es positivo en el avance del ĂĄrea de seguridad de las organizaciones. â&#x2014;? DATOS INTERESANTES
t OP TBCF DV¸OUP FTU¸ QFSEJFOEP FO EJOFSP QPS BUBRVFT t EFTUJOB N¸T EFM EF TV QSFTVQVFTUP JU B TFHVSJEBE t EF MBT FNQSFTBT OP TBCF TJ MP FTU¸O BUBDBOEP t DPOTJEFSB RVF FM NBZPS SFUP FT PCUFOFS FYQFSJFODJB Z SFDVSTPT QSPGFTJPOBMFT
t MF DPOTUB RVF TPO MPT VTVBSJPT Z FNQMFBEPT BVUPSJ[BEPT MPT RVF SPCBO JOGPSNBDJ§O
t OP UJFOFO MB NFOPS JEFB EF E§OEF MPT FTU¸O BUBDBOEP t &O EF MBT FNQSFTBT FODVFTUBEBT FM DFP EFDJEF MBT QPMÂUJDBT EF TFHVSJEBE
t DSFF RVF TV QSFTVQVFTUP EF TFHVSJEBE FT TVGJDJFOUF t NJEF TV JOWFSTJ§O FO MB EJTNJOVDJ§O EF JOUSVTPT
Agosto, 2009 B:SECURE 11
ACCESO
DDoS DETRÁS DE ATAQUES COMO EL DE TWITTER
A
taques de negación de servicio distribuido (DDoS, por sus siglas en inglés) ocurren todo el tiempo, pero atraen la atención del mundo cuando ‘tiran’ a sitios importantes o redes sociales populares, como Twitter. De acuerdo con un reporte de Craig Labovitz, investigador de la firma Arbor Networks, los ataques de este tipo en contra de Blogspot, Facebook, LiveJournal y Twitter perpetrados la semana pasada no son los más poderosos, aunque sí los más vistos. Por ejemplo, el jueves pasado el experto detectó la actividad de 770 diferentes ataques DDoS en todo el mundo. De hecho, es posible medir la potencia de dichos ataques. Según Labovitz, uno de 30 Gbps es inusualmente potente, ya que el promedio tiene una fuerza de cerca de 1 Gbps. Apenas hace poco más de un mes sitios Web del Gobierno de Estados Unidos y de Corea del Sur, así como de instituciones bancarias y organiza12 B:SECURE Agosto, 2009
ciones específicas sufrieron ataques DDoS, por lo que ya se prevé que el resto del año no mengüe este tipo de actividad maliciosa. Lo que tienen en común los ataques DDoS es que es fácil llevarlos a cabo y su forma de operar realmente no ha cambiado mucho en años. La gran desventaja para las empresas es que construir una botnet para lanzar un ataque DDoS es barato y relativamente sencillo. En cambio, para los negocios tiene un costo alto invertir en la infraestructura que permita defenderse para tener la menor cantidad de estragos en su operación. Además, el poder de las botnet está alcanzando proporciones gigantescas. Tan solo en los ataques a EU y Corea se calcula que fueron ejecutados por una botnet conformada por mínimo 35,000 computadoras zombie, si no es que la cifra alcanza los 40,000, según los últimos reportes de Secure Networks. ●
ACCESO SE BUSCA DESEMPLEADO INGENUO
L
os que buscan empleo y, particularmente los desempleados, son el objetivo favorito de los engaños enviados por los cibercriminales a través del correo electrónico. Como ocurre con los temas de moda en el mundo, como la influenza o Michael Jackson, las ofertas de empleo falsas se han convertido en un recurso efectivo para atraer a nuevas víctimas atraídas por su necesidad, alertó la firma de seguridad Red Condor. Los engaños, como es de esperarse, llegan al correo electrónico de la víctima presuntamente de parte de una empresa reconocida de reclutamiento de personal, lo que le genera confianza. Por otra parte, los atacantes están explotando los nuevos brotes de influenza en el mundo, la reciente muerte de Michael Jackson e incluso la latente efervescencia por la gestión del presidente de EU, Barack Obama para distribuir y sembrar malware, según reportes de PandaLabs. La variante de estas campañas de malware usadas durante este año, es que están diversificando su canales, añadiendo al correo electrónico
las redes sociales como Twitter y Facebook. La firma recordó a los usuarios en su reporte que procuren confirmar en la barra de direcciones del navegador que se encuentren en el sitio Web legítimo, sobre todo cuando han dado clic a una liga incrustada en un correo electrónico. Además, insistió en que cuando los usuarios navegan a lo que supuestamente es YouTube desde uno de estos links y se les solicita descargar un códec par visualizar el video, recuerden que dicha página no requiere de este tipo de programas. ●
ATACANTES USAN GOOGLE PARA REFINAR ENGAÑOS
L
os atacantes no se complican mucho la vida y consultan Google para conocer cuáles son los temas más buscados en Internet para planear mejor sus engaños y fraudes, reveló estudio. La ecuación es muy sencilla. La avidez de las personas por obtener información sobre los temas más populares y de moda los llevan a ‘googlearlos’, quedando así registro de cuáles son los intereses de los usuarios. En este proceso, los atacantes generan engaños y fraudes relacionados con esos temas, técnica conocida como ingeniería social, con el fin de que
los usuarios muerdan el anzuelo y entreguen información sensible sobre sus identidades, sus tarjetas bancarias o que simplemente den clic en un vínculo que permita al malware ser instalado en sus PC. “En julio se ha observado un incremento de los spammers que utilizan la información de tendencias de temas de Google como un método para determinar nuevas tácticas de ingeniería social”, dio a conocer el pronóstico de amenazas de Google de MX Logia. La compañía de seguridad en mensajería destacó en su reporte que el listado actualizado de las 100 búsquedas principales de Google Hot Trends le da a los criminales el material necesario para crear sitios Web maliciosos a donde acudan o sean redireccionados las víctimas de sus engaños. Además, los atacantes se las han ingeniado para atraer tráfico a sus sitios maliciosos para convertirlos en búsquedas populares al jugar con el sistema de clasificación de páginas en los resultados de búsqueda que arroja Google, para de esta manera colarse entre los primeros resultados de búsqueda y escalar así el impacto de sus fraudes. Según el reporte de MX Logic, Estados Unidos lidera la clasificación de países que envía el mayor volumen de spam en el mundo con 12.86%, seguido de Brasil con 12.43%, China con 5.26%, Polonia con 5.06% e India con 5.01%. ● Agosto, 2009 B:SECURE
13
ACCESO SYMANTEC RESPONDE CON DEDUPLICACIÓN MEJORADA
P
areciera una respuesta al cambiante panorama del mercado de almacenamiento y provocado por la compra de la compañía de tecnologías de deduplicación Data Domain por EMC hace una semana, el lanzamiento de Symantec de la segunda fase de su estrategia “Deduplicación en todas partes”. Con ella pretende ayudar a sus clientes a reducir más sus costos, así como la complejidad de administración y de infraestructura, con el fin de que disminuyan sus compras de almacenamiento y recuperen su información con mayor rapidez. Para conseguirlo, Symantec integró la tecnología de deduplicación en sus plataformas de administración NetBackup, Backup Exec y Enterprise Vault, lo cual facilitará centralizar la administración y eliminación de datos redundantes nativos, así como aplicaciones de terceros de deduplicación. En ese tenor, Symantec dio a conocer la nueva versión de la plataforma de recuperación NetBackup Platform, las cuales añaden capacidades de mejora operativa y de almacenamiento en entornos físicos y virtuales.
Con la nueva versión las organizaciones podrán recuperar sus datos de manera más rápida y con menor complejidad, ya que en este software fueron unificadas en el centro de datos las tecnologías de administración de la información para respaldos de disco, deduplicación de datos, protección de equipos virtuales, protección continua de datos y replicación, de acuerdo con Symantec. La oferta de EMC por Data Domain fue de $2,400 millones de dólares. Tan estratégica es la compra para el competidor de Symantec en dicho mercado, que fue capaz de ofrecer casi $1,000 millones de dólares más que su rival, NetApp, la cual había conseguido un acuerdo de compra y la aprobación del Consejo de Data Domain. ●
DESARROLLA HP NAVEGADOR BASADO EN DARKNET
I
nvestigadores de Hewlett Packard presentarán los avances del desarrollo del primer navegador basado en Darknet, en el marco de la conferencia de seguridad Black Hat USA 2009, el cual se celebrará la semana próxima. Los Darknet son redes de cómputo privadas, casi secretas, que son utilizadas para establecer comunicaciones unificadas e incluso intercambio de información y archivos. Pero como el navegador está obteniendo un lugar central como plataforma con capacidades de control y acceso de información, tipo sistema operativo, sería justo lo que una Darknet requeriría para también llevarla a teléfonos inteligentes y a dispositivos móviles con la seguridad necesaria. Dichas redes de cómputo seguras, explican los investigadores de HP Bi-
14 B:SECURE Agosto, 2009
lly Hoffman y Matt Wood, pueden ser creadas utilizando aplicaciones de software de escritorio. Además, pueden ser aprovechadas las nuevas versiones de los motores Javascript, incorporados en navegadores como TraceMonkey de Firefox y V8 de Chrome, las cuales facilitan capacidades de encripción útiles para construir un navegador basado en Darknet. “Lo que Billy y Matt han hecho es crear una Darknet que proporcione a los usuarios una forma de comunicarse y compartir archivos anónimamente utilizando solamente un navegador”, afirman los investigadores de HP. Las Darknets requieren por lo general la instalación de algún tipo software para cliente, configuración de firewall, así como otros galimatías, explican en su sitio Web. ●
E A V R ND E S E E R AG SU
lto ión a x de vac m o . or inno e a. f m E c i r e la s d bl co BR N . m i M O r ara elo n pú m p E I AT O u l l p mod ció r V E C e I a v fo t NO HERTÓR ni los istr n E S IS n in e D e L H m dm 12 TE O n a r , O R
H
ve o .g w w
T
N CE
w
5 28 4 7 9 62 ción 0 2 ) 4 55 0 op 0 60 o ( : 6 f l Te 9 72 0 67 a.in 0 i 2 26 018 ed m t ne @ os nt e ev
Un evento de
Producido por
´ OPINIÓN INVESTIGACIÓN EN MÉXICO DE DELITOS COMETIDOS A TRAVES DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Por Mti. Oscar Manuel Lira Arteaga
E
s posible que la primera idea que la viene al ver el titulo es ésta nota es: ¿Existe este tipo de investigación en nuestro País? A continuación y con la finalidad de ofrecerle una respuesta sustentable procederé de manera muy breve a explicar cuál es la situación de nuestro país en éste rubro, esto es; qué tenemos, que nos falta y qué debemos hacer. Desafortunadamente como lo hemos venido escuchando en las noticias o incluso de familiares y amigos, delitos como: fraude, extorción, secuestro, explotación sexual, trata de personas, robo de identidad, robo de información, entre otros, los cuales son cometidos a través de un equipo de cómputo, de un dispositivo móvil de comunicación, teléfono celular o a través de Internet, son temas presentes de manera recurrente en nuestras conversaciones. De lo anterior y de acuerdo a nuestra experiencia las dudas en relación al tema son las mismas ¿Qué debo hacer? y ¿A quién debo acudir? La buena noticia es que si bien es necesario reforzar algunos puntos de nuestra legislación, hoy el Agente del Ministerio Público quién de acuerdo a nuestra Constitución Política es el responsable directo de realizar una investigación con la finalidad de esclarecer un delito, cuenta con las herramientas necesarias para llevar a cabo en términos muy positivos una investigación de éste tipo. La mala noticia es que es que debemos adquirir la cultura de la denuncia al momento de convertirnos en víctimas, ya que mientras más oportuna sea dicha acción, mayores serán las oportunidades tanto de los Servicios Periciales como de las distintas Policías de auxiliar al Ministerio Publico en la oportuna obtención de las evidencias que le permitan no solo esclarecer el delito sino también brindarle al Juez los elementos para sancionar y/o castigar a él o los culpables. Permítame darle algunos ejemplos: En los casos de extorciones y secuestros los cuales utilizan como
16 B:SECURE Agosto, 2009
medio la telefonía celular, la ley Federal de Telecomunicaciones le brinda al Agente del Ministerio Público, las herramientas necesarias para lograr exitosamente la localización de una víctima y la de sus cautores en un plazo no mayor a 72 horas después de recibida la denuncia. Existen acuerdos de cooperación con los Proveedores de Servicios de Internet más importantes con la finalidad de poder rastrear a los autores de amenazas, extorciones, y trata de personas a través de Internet cuando la denuncia se realiza en un plazo no mayor a 6 meses. Existen las herramientas legales para que las entidades financieras le brinden a la autoridad solicitante lo necesario para realizar la localización de un delincuente que utiliza las redes informáticas para cometer delitos siempre y cuando las denuncias se realicen en un plazo no mayor a tres meses. Los anteriores son solo algunos ejemplos de los delitos que sufrimos con mayor frecuencia, sin embargo le puedo asegurar que cuando tanto la denuncia como los procedimientos de investigación por supuesto alineados a nuestra legislación se realizan de manera oportuna, el éxito en la solución de delitos cometidos a través de Tecnologías de la Información y Comunicaciones es muy cercano al 100%. No es un asunto fácil, pero créame organizaciones tanto gubernamentales así como la iniciativa privada se encuentran en masas de trabajo para dar solución al problema de forma eficaz y eficiente, sin embargo no es trabajo solo de una parte. La sociedad, los actores responsables de la procuración de justicia de nuestro país, los legisladores y los medios de comunicación, debemos aprender a trabajar en equipo, a confiar los unos en los otros y a respetar el trabajo de los demás, con el único fin de que la investigación de un delito tenga frutos. ¿Cuáles? Castigar a los delincuentes y recobrar la confianza en nosotros mismos anteponiendo la procuración de justicia ante los intereses personales. ●
for
BUSINESS PEOPLE
LO QUE DEBE SABER Y HACER LA ALTA DIRECCIÓN EN SEGURIDAD Por Adrián Palma
E
n esta entrega hablaremos de lo que requiere saber y el rol que debe de jugar la alta dirección en materia de seguridad basado en el concepto de gobierno de seguridad de la información (GSI) un concepto relativamente nuevo y empezado a usar en algunas organizaciones de nuestro país aunque no con el nombre rimbombante de GSI. Pero primero empecemos por entender la palabra gobierno acuñada por ahí de 1998 por la ISACA (Information Systems Audit and Control Association) y el IT Governance Institute donde gobierno es “ el conjunto de responsabilidades y prácticas, ejercidas por el consejo y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se manejen en forma apropiada y verificar que los recursos de la organización se utilicen con responsabilidad “ , en pocas palabras es el manejo efectivo y eficiente de la tecnología de información por parte de la organización. Por lo tanto el GSI es el buen manejo de la seguridad de la información a través de toda la organización en todos sus niveles y es aquí donde se da el primer gran problema que viven hoy día las organizaciones en México, el gran desconocimiento en la mayoría de los directivos de las organizaciones con respecto al tema de la seguridad, ¿que beneficios me da?, ¿que me puede pasar si no tomo en cuenta la seguridad?, ¿cuales son sus objetivos?, etc. Estos son algunos comentarios vertidos por algunos ejecutivos, en primer instancia se cree que es un mal necesario, la piedra en el zapato, lo tengo que hacer por el cumplimiento de los marcos regulatorios y/o de la normatividad interna del holding, en que me va a beneficiar esto de la seguridad, recuerdo que algún día un directivo importante de una empresa me dijo “mira en esta empresa aun con fraudes e incidentes de seguridad como tu le llamas, seguimos generando riqueza así es que a mi este tipo de temas me tiene sin cuidado porque pase lo que pase seguiremos ganando” obviamente este tipo de postura es totalmente extremista pero existen y eso es lo realmente grave del problema la falta de conocimiento. Basado en mi experiencia muy pocos son los que realmente por una autentica convicción creen que la seguridad de la información les va a dar beneficios tanto tangibles como intangibles y por lo tanto asegurar una operación con un nivel de riesgo aceptable en todo lo relacionado con seguridad de lade información. Segunda 2 partes
18 B:SECURE
Otro problema es que se piensa que la seguridad es responsabilidad de las áreas de tecnología, sistemas o informática y esa es una gran mentira, la seguridad es responsabilidad de toda la organización y no solo de dichas áreas o del responsable de la seguridad de la información en la organización, naturalmente en alguien deberá de recaer el ownership, en este caso es el responsable de la seguridad, pero todos los usuarios de la organización desde el mas alto nivel jerárquico hasta el mas bajo tendrán roles y responsabilidades que cumplir sin excepción. Derivado de esto se desprende otro gran problema que actualmente se vive en las organizaciones la función de seguridad no esta a un nivel adecuado (Dirección, Subdirección o Gerencia) en las organizaciones por lo general se da a un nivel operativo y por consiguiente no se tiene la autoridad ni la facultad para trascender en todo lo relacionado con la seguridad de la información aunado a esto, otro problema es que difícilmente en las organizaciones hay un presupuesto asignado para seguridad, pocas son las organizaciones afortunadas en contar con recursos para seguridad además de que dicho presupuesto es obtenido de las áreas de tecnología (entre un 2 y 4 % del total de TI) y no de un presupuesto a nivel organizacional que eso sería lo ideal y lo mas recomendable, no obstante de todo lo anterior, cuando no hay un presupuesto asignado para la seguridad y hay requerimientos, acciones a seguir o incidentes de seguridad como decimos coloquialmente se le rasca o quita a presupuestos de otros proyectos relacionados con TI. Es importante recalcar que también muchas organizaciones no cuentan con una función de seguridad establecida, por lo regular esta responsabilidad recae en las áreas de tecnología a un nivel jerárquico bajo (por lo regular el administrador de la red, soporte técnico etc.) y sin disponer de recursos humanos ni presupuestales para desempeñar las funciones mas básicas de seguridad, además de que la perspectiva de seguridad es muy acotada o limitada no se toman en cuenta otros activos de información en capas como aplicaciones, bases de datos y menos en los procesos de negocio y mucho menos en el eslabón mas débil de la cadena que es la gente, por lo regular se enfocan en la red y sistemas operativos por los skills de los responsables de seguridad. Sin embargo la mayoría de las organizaciones que si tienen esta función realizan actividades más operativas que estratégicas y normativas dificultando que la segu-
ridad se permee en toda la organización y solo sea vista desde la óptica de TI, Sistemas o Informática y no desde la óptica de lo que requiere realmente la organización, independientemente de la problemática y complejidad técnica de la seguridad. Los problemas descritos arriba son los obstáculos para poder implementar un GSI de manera efectiva y eficiente y es el gran reto que tendrán que superar las organizaciones en materia de seguridad, ya que a fin de cumplir con la difícil tarea de brindar una protección adecuada a la información y a los activos de información forzosamente se tendrá que contar con el apoyo de la alta dirección, este es un factor crítico de éxito tal como sucede con otras funciones sensitivas de la organización por lo que la complejidad, importancia y criticidad de la seguridad y su gobierno exigen el total respaldo por parte de los niveles mas altos de la organización. Es fundamental que la alta dirección comprenda perfectamente el alcance y la severidad de los riesgos a los cuales esta expuesta la información la cual al ser el activo mas importante de la organización deberá ser tratada con el cuidado, precaución y prudencia que amerita. El GSI deberá ser responsabilidad de la alta dirección, consejo de administración o el nivel más alto jerárquicamente dentro de la organización. La creciente dependencia de las organizaciones de su información y de la infraestructura tecnológica que la maneja, junto con los riesgos, beneficios y oportunidad que representan, hacen que el GSI tome una relevancia fundamental además de tratar los requerimientos legales y marcos regulatorios, un GSI efectivo se debe ver como un buen negocio por las siguientes razones basadas en mi experiencia de proyectos realizados: UÊ Õ i Ì>ÀÊ >Ê«ÀiÛ Ã L `>`ÊÞÊÀi`ÕV ÀÊ >Ê ViÀÌ `Õ LÀiÊi Ê >ÃÊ «iÀ>V iÃÊ de la organización al reducir los riesgos a niveles aceptables UÊ /À>Ì>ÀÊ >ÊVÀiV i ÌiÊ« à L `>`Ê`iʵÕiÊ >Ê À}> â>V ÊÞÊ >Ê> Ì>Ê` ÀiVV ÊÃiÊ enfrenten de manera responsable y habitual a la responsabilidad legal o civil como resultado de errores o imprecisiones en la información, recordemos que cada vez hay más marcos regulatorios que cumplir. UÊ À `>ÀÊÕ Ê Ûi Ê`iÊV v > â>Êi ʵÕiÊ >ÃÊ`iV à iÃÊVÀÕV > iÃÊ ÊÃiÊL>Ã> Ê en información errónea. UÊ *À « ÀV >ÀÊÕ ÊvÕ `> i Ì Êà ` Ê«>À>Êi Ê > i Ê`iÊÀ iÃ} ÃÊÞÊÕ >Ê ijora de procesos, así como una respuesta rápida a incidentes. UÊ À `>ÀÊV v > â>Êi Êi ÊVÕ « i Ì Ê`iÊ >ÃÊ« Ì V>à UÊ >ÀÊÕ >Ê >Þ ÀÊV v > â>Ê>Ê ÃÊà V ÃÊ`iÊ i} V Ê ÊV i ÌiÃÊÊ`iÊ >Ê Àganización UÊ Ài>ÀÊ ÕiÛ>ÃÊv À >ÃÊ`iÊ >ViÀÊ i} V Ê Ê`iÊ`>ÀÊÃiÀÛ V UÊ *À Ìi}iÀÊ >Ê >}i ÊÞÊÀi«ÕÌ>V Ê`iÊ >Ê À}> â>V ° * ÀÊÕ Ì ÊÞÊ Ê i ÃÊ « ÀÌ> ÌiÊ`>` ʵÕiÊ >ÊÌiV } >ÊLÀ `>Ê >Ê« sibilidad de tener ventajas competitivas además de una mejora sustancial en el desempeño de la organización el contar con una función de seguridad de la información adecuada puede añadir un valor muy significativo a la organización al reducir las perdidas derivadas de eventos que estén relacionados con la seguridad y brindar la confianza de que los incidentes de seguridad y las violaciones a la misma son manejados adecuadamente. *iÀ Ê·µÕ i Ê«>ÀÌ V «>Êi ÊÕ Ê - ¶Ê >ÊÀiëÕiÃÌ>ÊiÃÊV ÌÕ `i ÌiÊ >Ê> Ì>Ê` rección y/o consejo de administración ya que se requiere de un gran impulso y lineamientos estratégicos, compromiso, recursos y algo de suma importancia la asignación de la responsabilidad para la función de seguri-
dad de la información y reitero solo es posible lograr un gobierno eficaz de seguridad mediante el apoyo y la participación de la alta dirección. Implementar un gobierno eficaz de seguridad y definir los objetivos estratégicos es una tarea ardua y compleja. Tal como sucede con cualquier otra iniciativa importante tiene que contar con liderazgo y apoyo constante de las direccio iÃÊ`iÊ >Ê À}> â>V Ê«>À>ʵÕiÊÌi }>ÊjÝ Ì °Ê*>À>Ê`iÃ>ÀÀ >ÀÊÕ >ÊiÃÌÀ>Ìi} >Ê real y efectiva se requiere como regla de dedo la integración y la cooperación de los dueños del proceso de negocio o funcionales que al final de cuenta son los que se verán beneficiados en este rubro. Hasta cierto grado, la seguridad afecta todos los aspectos de la organizaV °Ê* ÀÊ ÊÌ> Ì ÊiÃÊÀiV i `>L iʵÕiÊÃiÊiÃÌ>L iâV>ÊÕ ÊV ÌjÊ`iÊÃi}ÕÀ `>`Ê de la información algo socorrido en varias organizaciones en México, para asegurar la participación de todas las posibles áreas afectadas por consideraciones de la seguridad dicho comité esta conformado por representantes de nivel superior de las áreas afectadas (por lo general son los dueños de la información). Esto de alguna manera facilitara consensos sobre las prioridades en materia de seguridad otra de las ventajas es tener un canal efectivo de comunicación y una base continua para garantizar que la función de seguridad sea congruente con los objetivos de la organización, además de promover una cultura de seguridad adecuada en la organización. Y por ultimo esta el responsable de la función de la seguridad conocido V Ê -"Ê ivÊ v À >Ì Ê-iVÕÀ ÌÞÊ"vv ViÀ®Ê>Õ µÕiÊ ÞÊ` >Êi Ê >Ê >Þ À >Ê`iÊ >ÃÊ À}> â>V iÃÊ >ÃʵÕiÊÕ Ê -"ÊÌ i i ÊÊÕ Êi V>À}>` Ê`iÊ >ÊÃiguridad que por obvias razones no tiene ni el nivel jerárquico ni la visión À}> â>V > ʵÕiÊÃiÊÀiµÕ iÀiÊ«>À>ÊiÃÌiÊÀ °Ê >Ãʺ Õi >ÃÊ*À>VÌ V>Ã»Ê ÃÊ` Vi ʵÕiÊ >Ê i>Ê`iÊÀi« ÀÌiÊ`i Ê -"Ê`iLiÊÃiÀÊ` ÀiVÌ> i ÌiÊ> Ê ÀiVÌ ÀÊ i iÀ> Ê`iÊ >Êi «ÀiÃ>Ê "®ÊÊ>Õ µÕiÊiÃÌ Ê Ê iViÃ>À > i ÌiÊiÃÊ Ê i ÀÊ« ÀÊ distintas circunstancias. El punto en cuestión es que alguien en la organización debe de tener la responsabilidad de ejecutar todos los lineamientos marcados por el GSI. ÊV Ì Õ>V ÊV i Ì>ÀiÊ ÃÊ«Õ Ì ÃÊL?à V ÃÊ«>À>ÊV Ì>ÀÊV ÊÕ Ê - Ê efectivo: £°Ê1 >ÊiÃÌÀ>Ìi} >Ê Ìi}À> Ê`iÊÃi}ÕÀ `>`Ê i Ìi]Ê*À Vià ÃÊÞÊ/iV } >®ÊµÕiÊ este vinculada intrínsicamente con los objetivos de la organización Ó°Ê Ì>ÀÊV Ê >Ê À >Ì Û `>`Ê`iÊÃi}ÕÀ `>`ÊÊ* Ì V>Ã]Ê ÃÌ? `>ÀiÃ]Ê Õ >Ã]Ê ÞÊ*À Vi` i Ì Ã®ÊµÕiÊÌÀ>Ìi Ê>ëiVÌ ÃÊ`iÊ}i Ìi]Ê«À Vià ÃÊÞÊÌiV } >Êi Ê toda la organización, este rubro es fundamental aunque en muchas organizaciones se subestima, la normatividad es tan importante en la función de seguridad que si hiciéramos una analogía con el cuerpo humano dicha normatividad sería el corazón del ser humano. 3. Una estructura organizacional efectiva, que cuente con el nivel y autoridad necesario para que la seguridad se permee a lo largo de la organización, libre de conflictos de interés y recursos adecuados. 4. Métricas y procesos de monitoreo que garanticen el cumplimiento y proporcionen retroalimentación sobre la efectividad de la seguridad en particular este punto es mucho muy complejo por la adopción de métricas claras y efectivas.
Ê i ÃÊÛ ÃÌ Ê>ÊÌÀ>ÛjÃÊ`i Ê>ÀÌ VÕ Êi Êv>VÌ ÀÊVÀ Ì V Ê`iÊjÝ Ì ÊµÕiÊ}>À> tice la adecuada adopción de un GSI esta en el interés y la concientización de la importancia de la seguridad en una organización por alta dirección si esto no se efectuara el GSI estaría condenado al fracaso. ●
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org
B:SECURE 19
ÁREARESTRINGIDA
STONED VS TRUECRYPT, RELATO DE UNA AMENAZA AL CIFRADO EN DISCO Por Roberto Gómez Cárdenas
U
na de los temas de moda en la mayor parte de las organizaciones es de la prevención de pérdida de datos (DLP por sus siglas en inglés). Existen varias herramientas para implementar un DLP, siendo las de cifrado de disco una de las más utilizadas. La herramienta de software libre más conocida y utilizada para el cifrado de un disco es TrueCrypt. En el evento de Blackhat de este año el investigador austriaco de 18 años, Peter Kleissner, presentó un bootkit de nombre Stoned que representa una amenaza al cifrado proporcionado por esta herramienta.
20 B:SECURE Agosto, 2009
Existen dos escenarios cuando una cifra con TrueCrypt. En el primero solo la partición del sistema es cifrado, el MBR, el espacio no particionado y el área protegida del host permanecen sin cifrar. En el segundo escenario se lleva a cabo un cifrado completo del volumen, solo el MBR permanece sin cifrar. El año pasado investigadores de la universidad de Princenton dieron a conocer un ataque dirigido a herramientas de cifrado de disco conocido como ataques de arranque de en frío. El ataque se basa en el hecho de que la información almacenada en la RAM de
la computadora no se borra de forma inmediata. Es posible retirar do completo del volumen (el segundo escenario de TrueCrypt). Sin emla memoria de una computadora que se encuentre en modo sus- bargo Kleissner se encuentra trabajando en la forma de darle la vuelta a pensión, o que se haya apagado recientemente, insertarla en otra esto. El ataque tampoco se puede llevar a cabo con el nuevo BIOS, Exmáquina y recuperar la clave de cifrado. También es posible arran- tensible Firmware Inerface (EFI). Otra forma de protegerse es arrancar car la computadora desde un CD live y examinar la RAM de la má- la máquina con un dispositivo externo, USB o CD, de tal forma que el MBR del disco duro nunca se lea. TrueCrypt proporciona un medio de quina para recuperar la llave. El ataque de Kleissner consiste en la inserción de un bootkit en la hacer esto. máquina para que este recupere la llave de cifrado. Durante el arranque el BIOS manda llamar el bootkit, el cual inicia la ejecución del cargador de TrueCrypt. El bootkit usa EL ATAQUE DE KLEISSNER CONSISTE EN un reenvío doble para redireccionar la interrupción 13h, LA INSERCIÓN DE UN BOOTKIT EN LA lo que permite situarse entre las llamadas de Windows y MÁQUINA PARA QUE ESTE RECUPERE TrueCrypt. LA LLAVE DE CIFRADO. Un bootkit es un tipo de rootkit que se instala en el sector de arranque, por lo que el malware dentro de este se carga en el sistema cuando la computadora arranca. El traEl autor contactó a Microsoft y a TrueCrypt para contar con su punbajo de Kleissner se basa en un virus de nombre Stoned. Es el nombre de un virus de sector de arranque que fue creado en 1987, aparente- to de vista sobre el ataque. Microsoft no respondió nada, pero el nivel mente en Nuevo Zelanda. Fue uno de los primeros virus y se diseminó de alerta del Win32/Stonned fue asignado como severo. Por otro lado, a través de un correo enviado a Kleissner, la gene de TruCrypt manibastante al principio de los noventas. Stoned fue diseñado como un MBR compuesto de diferentes mó- festó que el ataque es inválido por dos razones. La primera es que el dulos. Los plugins y aplicaciones de booteo se encuentran en el sis- atacante y/o bootkit requiere contar con privilegios de administrador. tema de archivos, no el MBR. El programa contiene un modulo “Disk La segunda es el hecho de que el atacante necesita tener acceso físiSystem” para acceder a los sistemas de archivos NTFS y FAT que solo co al hardware y que el hardware sea usado después de que el accelos soportados actualmente. El rootkit en si es independiente del siste- so tuvo lugar. La noticia causo bastante revuelo y varios grupos de discusión ma operativo, sin embargo actualmente solo ataca sistemas operatihan abordado el tema. Es necesario considerar varios aspectos anvos Windows. Ya que el MBR permanece sin cifrar es posible escribir el boot- tes de encender las alarmas y no utilizar TrueCrypt, o cualquier kit en él. Ahora bien, el espacio que ocupa el MBR no es muy gran- otro software de cifrado de disco. El ataque no es nuevo en su conde por lo que es necesario escribir los plugins, el respaldo del MBR cepción aunque muy ingenioso en su implementación. Un keylooriginal y otro tipo de código, en otro lugar. Para el primer escenario gger también puede recuperar la llave de cifrado, y de la misma de cifrado en TrueCrypt los datos pueden almacenarse en el espa- forma que Stoned, la instalación de este requiere de acceso físico cio que no está particionado. En el segundo escenario todo el soft- a la computadora. Hay que tomar en cuenta que la presentación ware de ataque debe almacenarse en el espacio que ocupa el MBR, de Kleissner en Blackhat habla sobre un bootkit que funciona sodentro de los 63 sectores menos el espacio que ocupa el software de bre todas las versiones de Windonws y que una vez instalado podescifrado. TrueCrypt cuenta con siete sectores donde Stoned pue- dría llevar a cabo alguna acción. El ataque sobre TrueCrypt tan solo es una demostración de lo de almacenarse. que puede hacer el bootkit. Se puede cambiar el malware que contiene el virus y llevar a cabo otro tipo de EL AÑO PASADO INVESTIGADORES ataque. Si se revisa la presentación que utilizo KleisDE LA UNIVERSIDAD DE PRINCENTON nner, solo una lamina de 38 hacer referencia a TrueDIERON A CONOCER UN ATAQUE Crypt. Por otro lado, ningún software de cifrado de DIRIGIDO A HERRAMIENTAS DE disco verifica el sector de arranque, no es función de CIFRADO DE DISCO CONOCIDO COMO este tipo de software el llevar a cabo este tipo de verifiATAQUES DE ARRANQUE DE EN FRÍO caciones. Sin embargo recordemos que la seguridad se debe ver como un todo y no solo una parte de esta. Es Ya que el software requiere poder manipular datos en crudo es nece- necesario contar con los mecanismos necesarios para proteger tosario contar con privilegios de administrador. Sin embargo el 75% de los das vulnerabilidades del sistema y no solo una parte. Es curioso cómo empezó a circular en internet la noticia de que un usuarios cuentan con privilegios de administrador. En caso de que no se cuente con estos, se le solicita al sistema que eleve los privilegios a rootkit había traspasado la seguridad de TrueCrypt. Cuando se lee este través de la función ShellExecute() o se le pide al usuario la autorización tipo de noticias, uno piensa que se trata de un malware que es capaz mediante un mensaje. Si el usuario responde que “no” al mensaje, se le de descifrar todo el disco sin necesidad de que el usurario teclee su clave. Este no es el caso, es necesario que el atacante tenga acceso físipregunta de nuevo hasta que presione la opción de “si”. Es posible crear un Live CD usando Windows PE para contar con un co a la máquina, inyecte el bootkit y que después el usuario arranque CD que inyecte el bootkit en una computadora y le de vuelta al cifrado la máquina y teclee su contraseña para que el ataque tenga éxito. Si un atacante es capaz de hacer todo lo anterior sin que el usuario lo note, proporcionado por TrueCrypt. Lo mismo se puede hacer con un USB. La única forma de arranque segura, que no es afectada por Stoned, ningún tipo de protección podrá garantizar la seguridad de la informaes el uso de TPM (Trusted Plataform Module) en conexión con el cifra- ción almacenada en la computadora. ● Agosto, 2009 B:SECURE 21
SINNÚMERO ¿SEGURO QUE SU ANTIVIRUS NO ES FALSO? Está navegando en uno de sus sitios favoritos y de pronto aparece una ventana, una alerta al parecer del antivirus que indica lo siguiente: la PC está infectada con virus y debe comprar un antivirus en el acto para limpiarla. Más allá de cuántos usuarios podrían reconocer un antivirus falso de uno verdadero, la pregunta es ¿por qué los usuarios podrían confiar en un software que aparece así de pronto?. Al parecer, muchos están cayendo.
De acuerdo con estimaciones de Panda Security, los usuarios de Internet pierden hasta $34 millones de dólares por comprar software antivirus falso en Internet en circunstancias similares a la descrita. El scareware es un tipo de malware que aparenta ser un antivirus y utiliza el miedo del usuario para, paradójicamente, infectar su PC. Para finales de 2008, Panda Security detectó 55,000 tipos diferentes de antivirus falsos y espera que para finales del tercer trimestre de este año la cifra explote a casi 640,000 ejemplares. Por este descuido de los usuarios, cada mes 35 millones de PC son infectadas. Microsoft difundió en abril un informe en el que identificó que durante la segunda mitad de 2008 una variante de scareware se encontraba instalada en más de 4.4 millones de computadoras.
22 B:SECURE Agosto, 2009