SECURITY&tECHNOLOGY IT PROFESSIONALS MAGAZINE Aรฑo 1 ยท Nรบmero 1 ยท Agosto 2006
CERTIFIED ETHICAL HACKER pag. 5
PHISHING, Una amenaza CRECIENTE
MPLS, CALIDAD Y FACILIDAD
pag. 8
Pag. 13
Detecciรณn y evasiรณn Tips para una Inyecciรณn Distinta
3
9
3
4
%
-
3
#/.35,4/2! %. 3%26)#)/3 ).&/2-ยญ4)#/3 q 3EGURIDAD INFORMร TICA q 3OLUCIONES EN REDES
q 3OPORTE Tร CNICO q !SESORAMIENTO
q (OSTING q $ISEร O WEB
WWW ITG S COM
q $ESARROLLO DE SOFTWARE q #APACITACIร N
3
STAFF Director General Gustavo Rodolfo Sepulcri PROPIETARIOS SC IT Security Professionals S.R.L.
SECURITY&tECHNOLOGY IT PROFESSIONALS MAGAZINE Aùo 1 ¡ Número 1 ¡ Agosto 2006
CoordinaciĂłn editorial Juan Manuel Gracia REVISIĂ“N Y CORRECCIĂ“N Natalia Cerrella
EDITORIAL
Redactores Diego San Esteban Gustavo R. Sepulcri Juan Pecantet Mariano Giral Federico Pacheco Hernan M. Racciatti Gabriel Schwartz FabiĂĄn Calvete Marco Escobar HĂŠctor Jara Edson Vittoriano Piuzzi Santiago Pla
ÂĄEstamos de celebraciĂłn! Nos enorgullece el presentarles nuestro primer nĂşmero de Security & Technology, una revista dirigida a empresas y profesionales de IT, cuyo principal objetivo es contribuir al desarrollo de su organizaciĂłn asĂ como tambiĂŠn de los profesionales que en ella se desempeĂąan. Para lograr este objetivo, nuestra propuesta apunta a acercarle a Ud., contenido relacionado con diversos temas de la actualidad tecnolĂłgica; novedades en hardware, software, telecomunicaciones y todo lo referido al ĂĄrea IT. En tal sentido, desde estas pĂĄginas intentaremos brindarle informaciĂłn de utilidad respecto a la capacitaciĂłn de sus recursos humanos, perspectivas del mercado, estrategia, seguridad informĂĄtica y otros temas que creemos serĂĄn de su interĂŠs. AsĂ como el panorama de la seguridad ha evolucionado durante los Ăşltimos aĂąos, la seguridad en materia tecnolĂłgica ha dejado de ser una preocupaciĂłn de la tecnologĂa misma, para convertirse en un asunto netamente relacionado con su negocio. Desde este punto de vista, direcciĂłn y gerencia han pasado a formar parte activa en los procesos, la tecnologĂa y los asuntos de personal, que inevitablemente de una u otra forma, se encuentran Ăntimamente relacionados con la seguridad de la informaciĂłn. Si bien es cierto que nadie puede predecir cuĂĄndo ocurrirĂĄ el prĂłximo incidente de seguridad en su organizaciĂłn, el que un incidente de tales caracterĂsticas nos alcanzara en algĂşn momento, es un hecho que no debemos desconocer. Precisamente, teniendo en cuenta que el generar conciencia es parte fundamental de nuestro objetivo primario, es que consideramos esencial la puesta en circulaciĂłn del material que hemos reunimos en este ejemplar. El usuario de informĂĄtica y la tecnologĂa suele caer en crisis existenciales: ÂżQuĂŠ hay de nuevo en el mundo IT? ÂżQuĂŠ tecnologĂa me conviene elegir para proteger mi seguridad? ÂżQuĂŠ programas deberĂa usar? ÂżCĂłmo debo encarar un proyecto empresarial? ÂżQuĂŠ es lo que viene y cuĂĄnto cuesta? Security & Technology llegĂł para responder a todos estos interrogantes a travĂŠs de una visiĂłn analĂtica de los productos y servicios disponibles en el mundo de la tecnologĂa y la informĂĄtica. Siendo el contenido profesional uno de los puntos de mayor interĂŠs entre los lectores, todas nuestras notas y entrevistas serĂĄn realizadas por un staff de especialistas, como asĂ tambiĂŠn invitados especiales destacados en el rubro, quienes nos brindarĂĄn su colaboraciĂłn con el objeto de lograr hacer de esta su publicaciĂłn un recurso mĂĄs a su disposiciĂłn. Como mencionĂĄramos en los pĂĄrrafos anteriores, este es nuestro primer nĂşmero y esperamos ansiosos sus comentarios y sugerencias. Estamos deseando crecer rĂĄpidamente junto a ustedes, nuestros lectores. Crecer en cantidad de pĂĄginas, tirada editorial y muy especialmente en calidad de contenidos, especialistas y diseĂąo. Sabemos que con vuestro aporte, pronto nos convertiremos en la referencia ineludible para todo usuario, entusiasta o fanĂĄtico de la tecnologĂa y seguridad informĂĄtica, motivo por el cual hemos habilitado una direcciĂłn de correo electrĂłnico en la cual esperamos recibir sus mensajes: info@st-magazine.com ÂĄQue lo disfruten y nos vemos en Septiembre!
Publicidad - suscripciones RomĂĄn DomĂnguez (K) rdominguez@st-magazine.com suscripcion@st-magazine.com
DiSEĂ‘O GRĂ FICO Ariel Glaz ILUSTRACIĂ“N y DISEĂ‘O WEB Alicia Vera Alice Si querĂŠs colaborar con Security & Technology, escribinos a writers@st-magazine.com SECURITY & TECHNOLOGY IT Professionals Magazine CONTACTO info@st-magazine.com www.st-magazine.com Queda prohibida la reproducciĂłn no autorizada total o parcial de los textos publicados, mapas, ilustraciones y grĂĄficos incluidos en esta ediciĂłn. La DirecciĂłn de esta publicaciĂłn no se hace responsable de las opiniones en los artĂculos firmados, los mismos son responsabilidad de sus propios autores. Las notas publicadas en este medio no reemplazan la debida instrucciĂłn por parte de personas idĂłneas. La editorial no asume responsabilidad alguna por cualquier consecuencia, derivada de la fabricaciĂłn, funcionamiento y/o utilizaciĂłn de los servicios y productos que se describen, analizan o publicitan.
Immunity
Canvas Professional Immunity Canvas es una herramienta de penetration testing que ofrece cientos de exploits confiables, apuntado a Profesionales de la seguridad informĂĄtica y Penetration Testers.
2ESELLER FOR )MMUNITY #ANVAS
-AS )NFORMACI˜N INFO SECURITYC COM
4
Security&technology | AGOSTO 06
ÂżUsted dejarĂa que cualquiera entre en su casa? Igualmente, no debe dejar que cualquier computadora entre en su red. Usted necesita de una soluciĂłn completa de fiscalizaciĂłn que combine controles inteligentes de polĂticas con varios mĂŠtodos de comprobaciĂłn. Los controles de polĂticas son el cerebro de una soluciĂłn de fiscalizaciĂłn, permitiĂŠndole definir y administrar centralmente su polĂtica de seguridad de TI, evaluar inteligentemente si sus computadoras cumplen dicha polĂtica, y, finalmente, decidir cĂłmo solucionar los problemas. Los mĂŠtodos de fiscalizaciĂłn detectan las computadoras luego que solicitan una conexiĂłn con la red, ademĂĄs de especificar el acceso a la red segĂşn el status de la evaluaciĂłn y el tipo de conexiĂłn con la red.
L
os pioneros de la tecnologĂa Intrusion Detection dieron a conocer su estrategia de control de acceso a redes (NAC, Network Access Control). La soluciĂłn aprovecha la performance de McAfee en administraciĂłn integrada de seguridad y la aplicaciĂłn de polĂticas a nivel de empresas, al igual que la experiencia de la empresa tanto en seguridad de sistemas como de redes. McAfee NAC, potenciado por McAfee Policy Enforcer, ofrece a las empresas de mediano y gran tamaĂąo de cualquier parte, acceso en cualquier momento, a redes empresariales para sus empleados, invitados y contratistas, mientras protege los valiosos activos contra el riesgo de malware o configuraciĂłn errĂłnea de sistemas finales (endpoints).
McAfee Policy Enforcer proporciona: ¡ Policy Enforcer permite a los clientes implementar una soluciĂłn NAC completa, aprovechando las inversiones existentes en seguridad de endpoints y redes. ¡ Redes y endpoints mĂĄs seguros: sĂłlo los endpoints que no presentan infecciones pueden acceder a la red. ¡ McAfee AVERT Labs actualiza en forma continua y automĂĄtica las listas recomendadas para verificaciĂłn de infecciones. ¡ AdministraciĂłn de seguridad y cumplimiento de polĂticas unificadas: McAfee Policy Enforcer estĂĄ diseĂąado como un modulo de ePolicy Orchestrator, lo que permite a los clientes implementar una soluciĂłn NAC que funciona inmediatamente, aprovechando una consola Ăşnica tanto para administraciĂłn de la seguri-
dad como para el cumplimiento de normas. La estrategia NAC integral de McAfee tiene como objetivo ofrecer la soluciĂłn NAC mĂĄs completa y flexible que se adapta a cualquier entorno de un cliente. El proceso de cinco pasos que se describe a continuaciĂłn permite la administraciĂłn completa de los riesgos cuando los endpoints se conectan a la red: ¡ DefiniciĂłn de polĂticas: integraciĂłn sin problemas de McAfee Policy Enforcer con ePolicy Orchestrator, lo que permite la administraciĂłn de la seguridad y polĂticas de cumplimiento completamente integradas en una consola Ăşnica centralizada. Control de polĂticas flexibles e inteligentes como polĂticas altamente detalladas y conscientes de la ubicaciĂłn. ¡ DetecciĂłn: identifica todos los endpoints que se conectan a la red sin importar la modalidad de acceso a la red. Proporciona soporte para acceso de endpoints con agentes, sin agentes y con agente “a pedidoâ€?. ¡ EvaluaciĂłn: evaluaciĂłn detallada de sistemas tanto administrados como no administrados usando escaneo hĂbrido local y remoto potenciado por la tecnologĂa Foundstone que es lĂder en la industria. EvalĂşa el cumplimiento de las polĂticas en cuanto al nivel de parches, actualizaciones de sistema operativo y aplicaciones, aplicaciones de seguridad e infecciones. ¡ Cumplimiento de normas: amplias alternativas de cumplimiento de polĂticas, que incluyen pero no se limitan a cumplimiento automĂĄtico, cumplimiento por conmutador, norma 802.1x, API de VPN, DHCP, Cisco Network Admission Control, Microsoft Network Access Protection (NAP) y Trusted Network Computing (TNC). Permite el cumplimiento de polĂticas incluso cuando el sistema estĂĄ desconectado de la red.
OPINIĂ“N DE CISCO “La experiencia de McAfee en seguridad, junto con la experiencia de Cisco en infraestructura de red, se integra sin problemas para brindar una soluciĂłn NAC completaâ€?, comentĂł Russell Rice, director de marketing de Cisco. “El liderazgo de McAfee en administraciĂłn de seguridad de endpoints y cumplimiento de polĂticas a nivel de empresas complementa en forma ideal nuestro liderazgo en redes empresariales para proporcionar una combinaciĂłn poderosa “dos en unoâ€? para los clientes mutuosâ€?. McAfee NAC crea nuevas oportunidades para sus socios de canal, lo que les permite agregar valor al proporcionar servicios de implementaciĂłn rĂĄpida de NAC que ayudan a sus clientes a implementar una soluciĂłn NAC que funciona totalmente. Los socios de canal de McAfee actĂşan como asesores de confianza para ayudar a implementar y administrar soluciones de seguridad, lo que proporciona servicios como evaluaciĂłn de vulnerabilidad, planificaciĂłn de polĂticas de seguridad y capacitaciĂłn.
Permite el acceso total, parcial, en cuarentena a la red o restringe el acceso a la red según el nivel de cumplimiento. ¡ Reparación: opciones de reparación flexible que abarcan actualizaciones de aplicaciones de seguridad; protección contra vulnerabilidades usando IPS de hosts para protección previa a parches, al igual que implementación de parches. Opción controlada por el cliente mediante un solo clic y reparación automåtica. McAfee, de acuerdo con el mÊtodo de cumplimiento elegido, permite a los clientes implementar hoy una solución NAC en su red heterogÊnea existente, mientras brinda una base para futuros upgrade de la red.
“
“Para mantener la disponibilidad y la integridad de la infraestructura de TI frente a un entorno de amenazas que cambian rĂĄpidamente, las empresas deben implementar un proceso y arquitectura NAC. Esto ayuda a evaluar la seguridad de un sistema o usuario cuando se conecta a la red; monitorea la seguridad de los sistemas que ya estĂĄn conectados e implementa polĂticas de acceso a la red y de reparaciĂłn del sistema basadas en el sistema, el entorno de amenazas y la identidad del usuarioâ€? Lawrence Orans, analista de investigaciĂłn de Gartner
“La mayorĂa de las soluciones NAC sĂłlo revisan para determinar si usted cumple las polĂticas, pero no verifican si ha sido infectado con malware o programas no deseados. La soluciĂłn de control de acceso a redes de McAfee proporciona verificaciones detalladas de polĂticas que le ofrecen informaciĂłn sobre sus activos, aplicaciones y sus riesgos asociados, y tambiĂŠn hace una revisiĂłn para determinar primero si un endpoint estĂĄ infectado, antes de permitirle acceder a nuestra redâ€?
“
Âť Por Lic. Diego San Esteban
AndrĂŠ Gold, director de seguridad de la informaciĂłn de Continental Airlines.
#ALENDARIO q #URSOS !GOSTO Y 3EPTIEMBRE #ISCO 0)8 &IREWALL
%THICAL (ACKING
3ECURITY
,0)
# % ( #ERTIFIED %THICAL (ACKER
.ETWORK
Y DE AGOSTO
DE !GOSTO Y DE 3EPTIEMBRE AL DE SEPTIEMBRE
)SA 3ERVER
Y DE SEPTIEMBRE
AL DE SEPTIEMBRE Y DE OCTUBRE Y DE OCTUBRE
-ÉS INFORMACIĂ˜N 6ICTORIA 'UZMÉN 6 %JECUTIVA DE -ARKETING Y %DUCACIĂ˜N 'LOBAL 3OLUTION #ONSULTORES 3 ! &ONO
WWW GLOBALSOLUTION CL
5
CEH: Certified Ethical Hacker La certificación CEH (Certified Ethical Hacker) aborda en 22 módulos todas las técnicas y herramientas de Seguridad y Hacking Etico para certificar el examen 312-50 de EC-Council. » Por Gustavo Rodolfo Sepulcri Chief Security Officer | CEH Security Consultants
N
o es ninguna novedad que las computadoras en todo el mundo están siendo victimas sistematizadas del hacking Esta práctica no sólo se ha globalizado, sino que se está convirtiendo en una disciplina tan masiva, que los atacantes pueden comprometer un sistema entero, robar todo material valioso y luego eliminar sus huellas en cuestión de minutos. La misión de un Ethical Hacker es, entonces, ayudar a las organizaciones a tomar las medidas necesarias para prevenir estos ataques, atacando al sistema por sí mismo; siempre manteniéndose dentro de los límites que impone la legalidad. La filosofía es muy simple: atrapar a un ladrón, pensando como tal. A medida que la tecnología avanza y las organizaciones dependen cada vez más de ella, la seguridad de la información está alcanzando niveles críticos de supervivencia. Si el hacking involucra creatividad y un pensamiento fuera de los marcos predecibles, entonces las pruebas de vulnerabilidad y auditorías de seguridad no asegurarán la tranquilidad de una organización. Para asegurar que las organizaciones cuentan con normas adecuadas de seguridad, deben adoptar una política de defensa más profunda. En otras palabras, deben penetrar sus propias redes y vulnerar sus medidas de seguridad para dejar expuestas sus vulnerabilidades. La certificación CEH esta compuesta por 22 módulos, donde se desarrollan todo tipo de técnicas y prácticas como: · Legalidad y Ética · Footprinting · Scanning · Enumeracion · System Hacking · Troyanos y Backdoors · Sniffers · Denial of Service · Ingenieria Social · Session Hijacking · Hacking Web Servers · Vulnerabilidades en aplicaciones Web · Tecnicas de Password Cracking basado en Web · SQL Injection · Hacking Wireless · Virus y Gusanos · Seguridad Física · Linux Hacking · Evadiendo Firewalls, IDS y Honeypots · Buffer Overflows · Criptografía · Penetration Testing Esta certificación es otorgada por ECCouncil (www.eccouncil.org)
La definición de ‘Ethical Hacker’ es muy similar a la de ‘Penetration Tester’. El Ethical Hacker es un individuo usualmente empleado por la organización, alguien de confianza para tomar las riendas e intentar penetrar las redes y/o sistemas informáti-
EC-Council certificó a IT professionals de las siguientes organizaciones como CEH.
cos utilizando los mismos métodos que utilizan los Hackers. El Hacking es un delito en la mayoría de los países del mundo. Cuando es llevado a cabo por pedido explícito en un contrato entre un Ethical Hacker y una organización, se vuelve legal. EH (Certified Ethical Hacker) es la certificación oficial de Hacking ético (http:// www.eccouncil.org/CEH.htm). El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos métodos que un Hacker. La diferencia más importante es que el Hacker Ético tiene autorización para realizar las pruebas sobre los sistemas que ataca. El objetivo de esta certificación es adquirir conocimientos prácticos sobre los sistemas actuales de seguridad para convertirse en un profesional del Hacking ético.
Descripción del curso Este curso llevará al estudiante a un entorno interactivo, donde se les mostrará como explorar, probar, “Hackear” y asegurar sus propios sistemas. El entorno intensivo del laboratorio da a cada estudiante un profundo conocimiento y experiencia práctica con los actuales sistemas esenciales de seguridad. Los estudiantes empezarán por entender como funcionan las defensas periféricas y posteriormente serán llevados a explorar y atacar sus propias redes. Luego los estudiantes aprenden como los intrusos escalan privilegios y que pasos se pueden tomar para asegurar un sistema. Los estudiantes también aprenderán sobre la Detección de Intrusos, Creación de Políticas, Ingeniería Social, Ataques DDoS, Ataques de SQL Injection, Creación de Virus y muchas técnicas más. Cuando el estudiante termina este curso, tiene entendimiento y experiencia en Ethical Hacking (Hackeo Ético). Este curso lo prepara para el examen 312-50 de EC-Council para la certificación de Ethical Hacker.
EC-Council El Consejo Internacional de Consultores de Comercio Electrónico (EC-Council®), es miembro de una organización internacional de académicos, industriales y profe-
sionistas del e-Business. Entre los miembros se encuentran profesionales de todos niveles, de diversas áreas y de una amplia gama de industrias. Entre ellos se incluyen áreas especializadas, tales como educación, tecnología de información, salud, manufactura, finanzas, comunicaciones y gubernamental. EC-Council proporciona habilidades y certificación profesional para desarrollar e incrementar el conocimiento, las habilidades y el crecimiento profesional de sus miembros. EC-Council ofrece diversas opciones para aspirar a y para practicar el Comercio Electrónico, para adquirir habilidades identificadas como importantes estándares de la industria Web para el Comercio Electrónico. EC-Council ofrece cinco tipos de certificaciones: 1. Certified e-Business Associate 2. Certified e-Business Professional 3. Certified e-Business Consultant 4. E++ Certified Technical Consultant. 5. Certified Ethical Hacker Establecido en USA, y con oficinas centrales en Nueva York, EC-Council cuenta con miembros y afiliados alrededor del mundo. Con el crecimiento que se proyecta, de direcciones de sitios Web, de aproximadamente 10 millones a 35 millones en los últimos años, hay un gran aumento en la demanda de profesionistas capacitados. Para más información sobre Ethical Hacking, la empresa Security Consultants ofrece los siguientes cursos (Ver calendario en página 15): C E H (Certified Ethical Hacker) Duración: 40 horas Fecha: Agosto: Dias Jueves. Comienzo Jueves 17. Horario 19 a 22 hs. Días sábados. Comienzo Sábado 19. Horario 9 a 13 hs. Fecha Agosto: Días Martes. Comienzo Martes 15. Horario 9 a 13 hs. Curso Ethical Hacking Duración: 15 horas Fecha: Agosto: Días Lunes/Miércoles/Viernes. Comienzo Lunes 7. Horario: 19 a 22 hs. Fecha Agosto: Días Lunes /Miércoles/Viernes. Comienzo Lunes 14. Horario 09 a 13 hs.
Novell Canon Hewlett Packard US Air Force Reserve US Embassy Verizon PFIZER HDFC Bank University of Memphis Microsoft Corporation Worldcom Trusecure US Department of Defense Fedex Dunlop British Telecom Cisco Supreme Court of the Philippines United Nations Ministry of Defense, UK Nortel Networks MCI Check Point Software KPMG Fleet International Cingular Wireless Columbia Daily Tribune Johnson & Johnson Marriott Hotel Tucson Electric Power Company Singapore Police Force PriceWaterhouseCoopers SAP Coca-Cola Corporation Quantum Research US Military IBM Global Services UPS American Express FBI Citibank Corporation Boehringer Ingelheim Wipro United States Marine Corps Reserve Bank of India US Air Force EDS Bell Canada SONY Kodak Ontario Provincial Police Harris Corporation Xerox Philips Electronics U.S. Army Schering Accenture Bank One SAIC Fujitsu Deutsche Bank
6
Security&technology | AGOSTO 06
Hacia una verdadera administración de los riesgos de la información El valor de la información es innegable para toda organización en nuestros días. Claramente, su uso apropiado puede establecer diferencias fundamentales en los resultados que obtendrá una determinada organización. Sin embargo, durante tantos años nos hemos empeñado en ponerla al alcance de todos que hoy el paradigma ha cambiado. » Por Edson Vittoriano Piuzzi ¿Por qué administrar los riesgos de la información? El valor de la información es innegable para toda organización en nuestros días. Claramente, su uso apropiado puede establecer diferencias fundamentales en los resultados que obtendrá una determinada organización. Sin embargo, durante tantos años nos hemos empeñado en ponerla al alcance de todos que hoy el paradigma ha cambiado: ¿Cómo resguardamos este activo tan relevante para la organización? Impulsado por la coyuntura generada por la amenaza “hacker”, el resguardo de la información fue abordado entonces bajo un prisma tecnológico. Esto derivó en la aparición de infinidad de nuevos dispositivos de control como firewalls, ids, AAA, etc. Lo cual, a su vez, generó la necesidad de capacitación para incorporarlos a las plataformas ya existentes, pero además dejó de manifiesto la necesidad de producir un cambio cultural dentro de la organización, toda vez que por muy intrincados que sean los controles tecnológicos, si las personas no respetan o no conocen la relevancia de los valores que protegen, difícilmente les darán el tratamiento adecuado. En este punto el problema del resguardo de la información creció a magnitudes insospechadas. Era evidente que esto sucedería, la sociedad digital “está en pañales” y a medida que va avanzando deja en evidencia sus beneficios, pero también los nuevos desafíos que supone. Ninguna organización es ajena a este proceso. La nueva magnitud del problema sugiere la necesidad de una “cirugía mayor”. Si consideramos que la información es como la sangre de cualquier organización, es decir, fluye a través de ella activando y deteniendo procesos, modificando decisiones, etc., etc. en pocas palabras generando movimiento, pareciera ser necesaria la aplicación de recursos infinitos. Claramente, esto no es posible. Así las cosas: ¿Como priorizamos donde “inyectar” recursos? Es necesario realizar un análisis de los riesgos asociados a la información y como impactan en los procesos críticos del negocio, para realizar una apropiada administración de ellos.
¿Por qué es necesario conseguir el apoyo gerencial? Prácticamente todas las iniciativas em-
prendidas dentro de la organización deben ser atendidas por el gerente. Al menos eso es lo que declara la interminable procesión de consultores o “emprendedores internos” que desfila frente a su escritorio presentándole situaciones apocalípticas, fundamentando la viabilidad de su ocurrencia y presentado alguna metodología o norma para solucionarla que no tendrá éxito alguno si no existe irrestricto compromiso gerencial. Si bien, existe algo de verdad en esta forma de abordar el tema, no es menos cierto que la principal preocupación del gerente es el negocio y su mayor interés está en trabajar en esa línea. Por tanto, es necesario mostrar como la administración de riesgos agrega valor y como contribuye a la obtención de los objetivos de negocios. Aun demostrándolo, esta será sólo uno más de una vasta gama de factores que deben ser observados por el gerente. No obstante, debido al carácter de “cambio cultural” que este tema supone, su apoyo debe ser completo, pero esto no significa que deba participar de innumerables reuniones, dictar interminables charlas o definir procedimientos operativos. Al igual que la información que espera recibir del desarrollo de proceso, su participación debe ser precisa y clara, pero por sobretodo útil, oportuna y coherente. Una vez conseguido este apoyo, el equipo de trabajo debe ser capaz de mostrar “en terreno” de qué manera los recursos autorizado para administración de los riesgos, son un apoyo real a la estrategia definida por la gerencia para alcanzar sus objetivos de negocios.
¿Cómo mostrar cohesión entre los objetivos de la Administración de Riesgos de Información y los objetivos del negocio? Implantando una serie de medidas asociadas a mejorar o resguardar la seguridad de la información, midiendo su desempeño y correlacionándolo con los resultados de implantación de la estrategia general. Para esto es necesario crear un sistema de gestión que permita controlar los diversos aspectos de un tema que tiene tantas aristas, pero… ¿Como evaluar la calidad de sistema de gestión de riesgos de información? Existen normas y buenas prácticas asociadas a la construcción de este tipo de sistemas que pueden ser utilizadas como marco de referencia. Incluso algunas de ellas, como la Norma Británica BS7799 son auditables
7
por entidades externas. Sin embargo, la mayor parte de los estĂĄndares internacionales consideran aspectos que van desde la sensibilizaciĂłn del personal hasta la temas de Ăndole legal. En este punto vale la pena plantearse la siguiente pregunta:
ÂżEs posible incorporar este tipo de Sistemas de GestiĂłn, si la organizaciĂłn no considera relevantes este tipo de variables para la mediciĂłn de su desempeĂąo? En la desesperaciĂłn por implantar algo, muchos se han sentido tentados a convertir a la administraciĂłn de riesgos de InformaciĂłn en un “presupuestoâ€?, al cual cargan horas de cursos, dispositivos de prevenciĂłn, consultorĂas, etc. y, por tanto, “medibleâ€? sĂłlo en tĂŠrminos financieros. Frente a esta visiĂłn reducida, la reacciĂłn de las organizaciones modernas es comprender que su ĂŠxito global no depende Ăşnica y exclusivamente de la habilidad de sus administradores para manejar presupuestos. La consecuciĂłn de los objetivos es la resultante de una combinaciĂłn, muchas veces aleatoria, de factores tales como el compromiso de los empleados, la eficiencia de los procesos internos y la fidelizaciĂłn de los clientes. Estos y otros factores, dispuestos en unaintrincada red de relaciones causa-efecto configuran el escenario apropiado para el desarrollo exitoso de una determinada actividad. En orden a medir el aporte de cada elemento es necesario tener claro cual serĂĄ la estrategia a seguir y como serĂĄ implantada dentro de la organizaciĂłn. Adicionalmente, la implantaciĂłn mensurable de la estrategia sĂłlo serĂĄ posible si la organizaciĂłn ha alcanzado un nivel de “madurezâ€? apropiado. En caso contrario serĂĄ un cĂşmulo de buenas intenciones y deseos que no llegarĂĄn a cumplirse.
ÂżCuĂĄles son los principales factores a considerar para implantar un Sistema de AdministraciĂłn de Riesgos de InformaciĂłn? Capital Humano Al margen de su nivel de automatizaciĂłn, las organizaciones dependen del nivel de cohesiĂłn, compromiso y entusiasmo de los individuos que la componen. Son las personas quienes “quiebranâ€? toda lĂłgica cuando, trabajando unidas, se proponen un objetivo. El marco ĂŠtico, la motivaciĂłn, la capacitaciĂłn
y el clima laboral son factores fundamentales en el ĂŠxito de cualquier organizaciĂłn humana.
MisiĂłn y VisiĂłn ÂżPara que estamos aquĂ? ÂżDĂłnde queremos llegar? Éstas preguntas pueden parecer de Perogrullo, pero la falta de claridad en los objetivos globales produce la sensaciĂłn de que cada uno de los integrantes de la organizaciĂłn tiene sus propios objetivos sin que exista nada en comĂşn. En organizaciones grandes es mĂĄs difĂcil mantener la cohesiĂłn ya que el individuo tiende a diluirse dentro de la organizaciĂłn. En este punto es necesario recordar cual es la razĂłn de negocios que aĂşna el accionar de todos los integrantes de la organizaciĂłn.
Principios y Valores Organizacionales ÂżCuales son las organizaciones humanas mĂĄs exitosas en tĂŠrminos de permanencia en el tiempo, cohesiĂłn grupal, generaciĂłn de compromiso y consecuciĂłn de objetivos? a. Las congregaciones religiosas cuentan su existencia en centenares e incluso en miles de aĂąos. Las mĂĄs complejas y extendidas, a travĂŠs de una estructurada y coherente jerarquĂa, extienden sus redes de acciĂłn a todos los ĂĄmbitos del quehacer humano, captando nuevos adherentes y generando recursos para continuar con su misiĂłn, la cual, por cierto, es muy clara y conocida por todos los integrantes de la organizaciĂłn. El compromiso que generan es tal que los individuos pasan por alto otros valores en pro del objetivo comĂşn que supone un valor superior. b. Las instituciones armadas agrupan a sus individuos bajo el objetivo comĂşn de reguardar y servir a la patria. Para alcanzar este objetivo existe una compleja y coherente estructura jerĂĄrquica la cual se sustenta en un cĂłdigo ĂŠtico. El nivel de compromiso generado en los individuos es alto. Ambos tipos de organizaciĂłn tienen en comĂşn la definiciĂłn de principios y valores fundamentales que cada individuo debe observar y poner en prĂĄctica. Dicho marco ĂŠtico es tambiĂŠn la “carta de presentaciĂłnâ€? de la organizaciĂłn frente a la sociedad. En distinta medida, una organizaciĂłn
ÂŤEl modelamiento de la organizaciĂłn a partir de sus procesos no debe ser entendido exclusivamente en tĂŠrminos de desarrollo de sistemas de informaciĂłn computacional, sino como una herramienta de apoyo a la gestiĂłn integral.Âť comercial busca generar en sus clientes e integrantes un nivel de compromiso que permita asegurar la consecuciĂłn de los objetivos de negocios. Por tanto, es necesario generar compromiso en los individuos a partir de la identificaciĂłn de la organizaciĂłn y, por ende, de cada uno de ellos, con valores ĂŠticos y sociales que van mĂĄs allĂĄ de los indicadores econĂłmicos. Por ejemplo, compromiso con el crecimiento del paĂs, trabajo social, contribuciĂłn a las artes, contribuciĂłn a la modernizaciĂłn de la industria, entre otros. La difusiĂłn supone un desafĂo aparte. Es necesario considerar la gran cantidad de competencia publicitaria. Para posicionar el mensaje en las conciencias es necesario “derrotarâ€? o, al menos, igualar a competidores tales como la televisiĂłn, la radio, internet, etc. y finalmente, emigran en busca de mejores oportunidades. Preparar a otra persona para que tome los temas que el otro dejĂł requerirĂĄ tiempo y recursos nuevamente. La organizaciĂłn debe resguardar sus conocimientos y generar nuevas prĂĄcticas que vayan constituyendo y reforzando su “Cultura Organizacionalâ€?.
Enfoque de procesos La organizaciĂłn debe ser capaz de conocer como funciona su cadena productiva y los procesos de apoyo correspondientes. Esto permitirĂĄ situar indicadores y mĂŠtricas en aquellos puntos relevantes para la implantaciĂłn de la estrategia. De este modo la estrategia se vuelve algo “palpableâ€?, medible. El enfoque permite ademĂĄs: comprender donde, porque y para que es necesario realizar “ajustesâ€? administrativos, insertar tecnologĂa, crear procedimientos, etc. Esto deriva en una optimizaciĂłn de los recursos, eficiencia y permite el mejoramiento continuo. El modelamiento de la organizaciĂłn a partir de sus procesos no debe ser entendido exclusivamente en tĂŠrminos de desarrollo de sistemas de informaciĂłn computacional, sino como una herramienta de apoyo a la gestiĂłn integral.
Control de GestiĂłn Integral Tradicionalmente, el control de gestiĂłn ha puesto ĂŠnfasis en el desempeĂąo de las variables financieras. Sin embargo, ese enfoque fue modificado con la apariciĂłn de modelo Balanced Score Card (BSC), segĂşn el cual es necesario conocer los principales aspectos de interĂŠs para la organizaciĂłn con el fin de construir el “Mapa EstratĂŠgicoâ€?. Este Ăşltimo es una representaciĂłn grĂĄfica de la forma en que las mĂŠtricas, iniciativas y factores se relacionan de acuerdo a lo dispuesto en la estrategia. En otras palabras, es la forma en que la estrategia se aplicarĂĄ dentro de la organizaciĂłn. Un cuadro de mando construido a partir de BSC constituye una poderosa herramienta para medir el desempeĂąo de la estrategia en un instante de tiempo determinado. La versiĂłn mĂĄs tradicional de este modelo emplea cuatro perspectivas para describir una organizaciĂłn: la financiera, de clientes, de procesos internos y de conocimientos. La definiciĂłn de elementos asociados a cada una de estas perspectivas y su posterior correlaciĂłn permiten establecer el nivel de “impactoâ€? que puede tener un indicador o iniciativa sobre otro u otros.
CONCLUSIĂ“N La AdministraciĂłn de Riesgos de InformaciĂłn es una funciĂłn necesaria en las organizaciones modernas. Sus objetivos pueden y deben apoyar los objetivos de negocios en el mediano plazo. Sin embargo, esto no serĂĄ “visibleâ€? en una organizaciĂłn que no considere relevante, para la evaluaciĂłn de su gestiĂłn, aspectos relacionados con la mejora continua de sus procesos internos, la administraciĂłn de su conocimiento y las necesidades de sus clientes. Las normas, buenas prĂĄcticas y modelos, deben ser entendidas como herramientas al servicios de una transformaciĂłn organizacional, bajo ningĂşn punto de vista como un fin en sĂ mismas. La meta no es cumplir una determinada norma, la meta es crecer como organizaciĂłn para ofrecer un mejor servicio a nuestros clientes y mejorar la calidad de vida de todos y cada uno de nosotros.
$ESARROLLO E )MPLEMENTACIĂ˜N DE % COMMERCE
!DMINISTRACIĂ˜N DE 3ERVICIOS DE 7EBHOSTING
/PTIMIZACIĂ˜N DE 3ITIOS %XISTENTES
0OSICIONAMIENTO EN "USCADORES Y 0ROMOCIĂ˜N /NLINE
!DMINISTRACIĂ˜N Y -ANTENIMIENTO DE 3ITIOS 7EB
3ERVICIO Y 3OPORTE 4Ă?CNICO 2EMOTO Y /NSITE
WWW ANSWERCONSULTORES COM
8
Security&technology | AGOSTO 06
Phishing, una amenaza creciente » Por Héctor Jara
E
l término phishing, en informática, denota un uso de la ingeniería social para intentar adquirir información confidencial, por ejemplo contraseñas, cuentas bancarias, datos de tarjetas, etc. Todo esto obviamente en forma fraudulenta. El accionar del phisher (así es como se suele llamar a los estafadores que utilizan esta técnica) es simple, se hace pasar por una persona o entidad de confianza por medio de un contacto electrónico (por ejemplo correo electrónico, mensajería instantánea, páginas web, etc), imitando casi a la perfección el formato, lenguaje e imagen de entidades bancarias, financieras, etc. En todos los casos, la comunicación simula ser oficial, por ejemplo el website de un banco, y suele pedir algún tipo de logueo o información relevante, alegando motivos diversos. Por ejemplo problemas técnicos, cambio de políticas, posible fraude, etc.
Algo de historia nunca viene mal En un lenguaje más coloquial, el término phishing deriva de la palabra inglesa “fishing” (pesca) haciendo referencia en este caso al hecho de “pescar” contraseñas e información bancaria de distintos usuarios. Otra posible definición del término phishing es la contracción de “password harvesting fishing” (cosecha y pesca de constraseñas), pero esto muy probablemente es una acrónimo posterior a la concepción del término. La primera mención del término phishing data de enero de 1996 en un grupo de noticias de hackers, aunque el término apareció tempranamente en la edición impresa del boletín de noticias “2600 Magazine”. Luego fue adoptado por crackers que intentaban “pescar” cuentas de miembros de América OnLine. El término ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como “phone phreaking”.
Pero, ¿Cómo funciona el phishing? Como mencionaba anteriormente, el phisher envía una comunicación electrónica que suele tener un link a páginas web oficiales en apariencia de las entidades citadas, pero que en realidad conducen a falsas páginas web, que emulan a la perfección el sitio
original del banco o empresa, con el objetivo de “pescar” los datos ingresados por los usuarios. Del lado del usuario, dado que el puede ver “la página web del banco” y tiene confianza absoluta en él, desconociendo a lo que se está enfrentando en realidad, ingresa sus datos con total normalidad. A partir de este momento el phisher ya dispone de los datos confidenciales del usuario. Con ellos potencialmente puede: • Realizar compras por internet con el némero de tarjeta y fecha de expiración de una tarjeta de crédito • Realizar transferencias bancarias, obviamente no autorizadas por la víctima • Retirar dinero en efectivo de los cajeros automáticos habiendo previamente clonado laÇ/las tarjetas • Y una larga lista de etcéteras.
Algunas técnicas básicas de phishing Dado que la imaginación del hombre no tiene límites, en este caso particular aplicada a actividades fraudulentas, existen muchas formas de plasmar en la realidad lo mencionado en párrafos anteriores. En la mayoría de los métodos, además de las “ideas originales” de los phishers se utilizan conceptos técnicos de scripting o coding. Veamos algunos ejemplos de ello: • Si recibimos un mail con un enlace a un banco, si paramos el puntero del mouse sobre el link, nos va a indicar el URL donde nos llevará el enlace. Una técnica consiste en hacer que dicho URL esté “mal escrito” o utilizar subdominios del tipo: http://www.banco.com.juancito.com donde podemos ver que en realidad banco. com es un subdominio de juancito.com • Otro ejemplo para mentir enlaces es utilizar direcciones que contengan el carácter arroba (@, si, como la revista). El efecto que se logra con esto es pedir un usuario y contraseña. Supongamos que tenemos el siguiente enlace: http://www.banco.com@members.tripod. com y un usuario desatento llamado Juan, quien recibe un email aparentemente proveniente del banco y conteniendo el enlace mencionado. Juan probablemente crea que se conectará a la página del banco, cuando en realidad
se conectará a members.tripod.com solicitándole usuario y contraseña. Como nuestro querido juan creé que se conectará al banco, ingresará sus datos (seguramente usuario: juan y pass: juan) y el inescrupuloso phisher los “pescará”. Afortunadamente para Juan y para otros usuarios desatentos, a partir de mozilla 4 y del Internet Explorer 5, este método ya no está permitido. • Otro método de phishing consiste en utilizar comandos de Javascripts que alteren la barra de direcciones. Esto se logra colocando una imagen del la URL de la entidad legitima en la barra de direcciones o bien cerrando la barra de direcciones original y abriendo una que emule la legítima. • En este método el atacante utiliza el código de la entidad o empresa (en el ejemplo de juan, sería banco) por la cual se hace pasar. En este caso, dirigen al usuario para que inicie su correpondiente sesión en la página real de la entidad (en nuestro caso http:// www.banco.com), donde la URL y los certificados de seguridad parecen correctos. Este método se denomina Cross Site Scripting y los usuarios reciben un mensaje donde se manifiesta la “necesidad” de verificar sus cuentas junto con un enlace que simula ser la página real, pero en realidad el enlace está modificado. Este es un ataque bastante complejo y si no se tienen lo conocimientos necesarios es bastante difícil de detectar. • Otro problema con las URL ha sido encontrado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto.
Daños causados por este tipo de fraude Los daños causados por el phishing van desde perder acceso al correo electrónico o mensajero instantáneo a manos del phisher hasta sumas de dinero exorbitantes. La facilidad con la que usuarios confiados brindan información confidencial a los phishers hace que esta metodología esté en auge. Con la información obtenida los phishers pueden usar esta información propia de los usuarios para crear cuentas falsas en nombre de estos,
gastar el dinero de sus cuentas bancarias, e incluso apropiarse de sus cuentas de correo, etc. A título ilustrativo, se estima que entre el periodo de mayo de 2004 e igual mes de 2005, en Estados Unidos alrededor de 1,2 millones de usuarios tuvieron algún tipo de pérdidas debido al phishing. En dinero esto equivale a aproximadamente U$D 929 millones. En forma paralela, las empresas perdieron cerca de U$D 2.000 millones mientras sus clientes eran víctimas.
Anti-Phishing Como respuesta natural tanto de los usuarios como de las empresas, existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y el desarrollo de tecnologías orientadas a combatirlo. A continuación numeramos algunas: Respuesta social Es evidente que el eslabón mas débil de la cadena son los usuarios (que raro, no?). Por lo que una estrategia fundamental para combatir el phishing es concientizar a los usuarios sobre como reaccionar ante posibles ataques de phishing. Veamos un ejemplo de esto: Si un usuario es contactado indicando la necesidad de verificar datos, cuentas, etc, un comportamiento adecuado por parte del usuario sería contactarse el mismo con la empresa que en teoría está mandando el email, o bien el mismo ingresar en la barra de direcciones la dirección web que el conoce que es segura. Respuestas técnicas A esta altura ya existen varios softwares anti-phishing. Usualmente se integran al navegador y trabaja identificando posibles contenidos de phishing en las páginas web o e-mails. A un nivel corporativo, existen empresas que se dedican a dar monitoreo continuo y análisis de contenidos a otras empresas susceptibles de ser atacadas (bancos, entidades financieras, empresas de e-commerce, etc). Por otro lado, el Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, sostiene que las técnicas de phishing, al utilizar como componente principal la ingeniería social, van a quedar obsoletas en poco tiempo si
9
se concientiza correctamente a los usuarios. Como ya lo dice el viejo y conocido refrĂĄn, “hecha la ley, hecha la trampaâ€? ya hay varios candidatos como ser el pharming a suceder a estos mĂŠtodos fraudulentos. Respuestas legislativas y judiciales Obviamente si a todo lo anterior no se lo acompaĂąa con leyes que castiguen esta metodologĂa, poco se puede hacer. Como primer caso relevante contra un presunto phisher, el 26 de enero de 2004, la FTC (Federal Trade Commission) llevĂł a juicio a un adolescente de California, quien deliberadamente creĂł y utilizĂł una pĂĄgina web con un diseĂąo que aparentaba ser la pĂĄgina de American Online para poder robar nĂşmeros de tarjetas de crĂŠdito. Luego Europa y Brasil continuaron con la prĂĄctica que habĂa comenzado losEstados Unidos, rastreando y arrestando a presuntos phishers. En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing, el 1 de marzo de 2005. Esta ley federal de anti-
phishing establecĂa que aquellos criminales que crearan pĂĄginas web falsas o enviaran spam a cuentas de e-mail con la intenciĂłn de estafar a los usuarios podrĂan recibir una multa de hasta $250,000 USD y penas de cĂĄrcel por un tĂŠrmino de hasta cinco aĂąos.
Medidas a tener en cuenta para evitar el phishing • Sospechen de cualquier e-mail que solicite informaciĂłn personal urgente y utilice argumentos como por ejemplo: ¡ Problemas tĂŠcnicos ¡ Posibles fraudes ¡ Cambios de polĂticas de seguridad ¡ Promociones ¡ Premios, regalos, etc. • Por otro lado, estos correos usualmente le advierten que si no se verifican o actualizan sus datos en un determinado tiempo, les cancelarĂĄn o bloquearĂĄn la cuenta bancaria, o servicio al que se estĂŠn refiriendo. Esto fuerza a que el usuario responda prĂĄcticamente en el momento. • Como el phishing se basa en enviar correos en forma masiva a muchos usuarios, muy probablemente el usuario reciba e-mails de personas o empresas que no conoce o bien no es cliente, y de todas formas se le pide la actualizaciĂłn de los datos. Esos casos obviamente hay que ignorarlos directamente. En la figura 1, vemos el website de un banco que justamente alerta sobre esto. • Sospechen de los correos que soliciten informaciĂłn personal, como por ejemplo usuario, password o PIN, nĂşmero de tarjeta de crĂŠdito, fecha de expiraciĂłn, etc. • Usualmente los mensajes de correo electrĂłnico de phishing no estĂĄn personalizados. Por otro lado los mensajes de entidades de
las que si somos clientes usualmente si lo hacen. • Eviten llenar formularios en correos electrĂłnicos • No utilicen los links incluidos en los correos electrĂłnicos que aparentemente nos llevan a las entidades correspondientes, sobre todo si sospechamos que el mensaje no es autĂŠntico. Preferentemente coloquen la direcciĂłn en la barra de direcciones del navegador a mano. • Antes de ingresar cualquier tipo de dato confidencial, tal como nĂşmeros de tarjetas de crĂŠdito, datos bancarios, financieros, etc, asegĂşrense de que se encuentren en un website seguro. Las pĂĄginas web que utilizan protocolos de seguridad, que impiden la captaciĂłn de datos por parte de terceros no autorizados, se caracterizan porque la direcciĂłn web que aparece en la barra de navegaciĂłn comienza con el protocolo “httpsâ€? y en la parte inferior de la pĂĄgina aparece un candado. En la figura 2 podemos apreciar el protocolo https en la barra de direcciones. Igualmente podemos comprobar la veracidad del protocolo de seguridad; para ello, podemos clickear dos veces en el candado de la parte inferior de la pĂĄgina, y nos aparecerĂĄ una ventana en la que se identifica a la compaĂąĂa de certificaciĂłn y al titular del protocolo, asĂ como su validez. En la figura 3 vemos una ventana que nos indica que se verifica la identidad del sitio web en cuestiĂłn. • Preferentemente tengan el navegador web actualizado y con los Ăşltimos parches de seguridad instalados. • En caso que reciban un correo electrĂłnico y no estĂŠn seguros de la autenticidad del mismo, comunĂquense con la entidad que teĂłricamente les mandĂł dicho correo para
corroborarlo. Para terminar, es conveniente que revisen regularmente sus cuentas bancarias para chequear el estado de los movimientos o transacciones. En caso que haya una que no sea legĂtima, denunciarla inmediatamente con su banco.
 Referencias y
lectura complementaria
InformaciĂłn sobre phishing
http://www.honeynet.org/papers/phishing/ Un caso de estudio del proyecto Honeynet acerca de tĂŠcnicas detalladas por un par de phishers.
http://www.millersmiles.co.uk/
MillerSmiles proporciona informes acerca de los ataques mĂĄs recientes en internet.
http://catarsisresources.iespana.es/Pishing1.pdf
InformaciĂłn sobre principios basicos de phishing.
InformaciĂłn sobre anti-phishing
http://www.windowsecurity.com/articles/ Avoid-Phishing.html ÂżCĂłmo evitar fraudes del tipo phishing?
http://www.xml-dev.com/xml/SafeBrowsing/ Formas que pueden utilizar las empresas para hacer la navegaciĂłn vĂa web mĂĄs segura mediante el uso de aplicaciones libres.
LegislaciĂłn
http://www.law.duke.edu/journals/dltr/ articles/2005dltr0006.html
Tapando los agujeros provocados por el phishing: legislaciĂłn contra tecnologĂa.
3%#52)49 %4()#!,(!#+).' #/.&%2%.#% %8()")4)/.
./6)%-"2% (/4%, 3(%2!4/. ,)"%24!$/2 777 3%#52)49# #/- %3%(
10 Security&technology | AGOSTO 06
Detección y Tips para una Inyección Distinta
Mucho se ha escrito ya respecto de técnicas de SQL Injection. El presente artículo, intenta introducir al lector, en algunos de los métodos elementales de detección y evasión, relacionados con este popular ataque.
» Por Hernán Marcelo Racciatti INTRODUCCIÓN Cualquier trabajo de “Ethical Hacking” o “Penetration Test” suele ser algo divertido, aunque a su vez, cada una de las tareas involucradas en este tipo de proyectos, representa para el profesional de seguridad de la información, un nuevo desafió plagado de responsabilidades. Si bien el sigilo, suele habitualmente ser parte integral de nuestro trabajo, en ciertas oportunidades, es necesario hacer el máximo esfuerzo por pasar desapercibido frente al equipo de seguridad del cliente, pues solo de este modo estaremos haciendo nuestro mayor esfuerzo por simular un ataque lanzado por intrusos de nivel medio/avanzado intentando no ser detectados. Las técnicas utilizadas por los intrusos al momento de llevar a cabo un ataque sin ser detectados, son muchas, y las posibilidades de conducir exitosamente un ataque de este tipo, se encontrarán la mayoría de las veces, relacionadas tanto con el nivel de la técnica utilizada y la pericia o nivel de su ejecutor, como así también del tipo de sistemas de seguridad dispuestos en la red o host objetivo. Respecto a este ultimo punto, a menudo las empresas suelen basar gran parte de su estrategia de seguridad en el perímetro, y Figura 1 otro tanto en sus sistemas de
detección de intrusos tradicionales. Si bien ello no es una mala idea, la realidad indica que con frecuencia dicha estrategia puede no ser suficiente, especialmente cuando hablamos de ataques relacionados con aplicaciones web y/o almacenes de datos. En el presente artículo, vamos a centrarnos en algunas de las prácticas más comunes de detección y evasión de SQL Injection, un ataque del tipo de validación de entrada (Ver Referencias) que ha tenido a mal traer a más de una organización. Como probablemente sea de tu conocimiento, los ataques de SQL Injection suceden a nivel de Capa 7, la llamada capa de aplicación, y como tantos otros ataques, podríamos decir que el problema principal es de tipo semántico, o dicho de otro modo, como son interpretados determinados caracteres de significado especial para aplicaciones y bases de datos. Un aspecto interesante respecto de este tipo de ataques, es que al menos que tu IDS/IPS se encuentre específicamente configurado a
NOTA DE TAPA
y evasión
ación TCP. · Basada en la imposibilidad de detectar todo.
Figura 2 tal efecto, los mismos podrían eventualmente no ser detectados. Más allá de su poder heurístico, a menudo los sistemas de detección de intrusos se encuentran basados en comportamiento o en firmas. En tal sentido, todo IDS/IPS posee su propio conjunto de firmas o reglas actualizables de detección especifica, y si bien es teóricamente posible identificar por medio de firmas, las diferentes variantes de un ataque de SQL Injection, a menudo suele ser prácticamente imposible. Pero probablemente a esta altura ya estés preguntándote qué significa todo esto. Bien, es simple: la protección contra ataques de SQL Injection por medio de sistemas basados en firmas, generalmente no es “práctico”. Por más completa que resulte tu base de datos de firmas, y suponiendo que con ella se estén cubriendo todas y cada una de las variantes (cosa poco probable), el mantenimiento, las cuestiones de performance y los falsos positivos relacionados con dicha configuración, probablemente compliquen su operatividad y sencillamente lo conviertan en una solución “impractica”, sobre todo en grandes entornos corporativos.
¡Firmas y más firmas! Veamos algunos ejemplos. Como probablemente conozcas, tradicionalmente la detección basada en firmas se encuentra relacionada íntimamente con la construcción de expresiones regulares especialmente dispuestas, a fin de que las mismas nos permitan detectar, tantas variantes de un ataque en particular como sea posible. Un ejemplo típico que probablemente hayas visto alguna vez implementado como parte de una solución en SNORT, a menudo luciría del siguiente modo:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”Ejemplo 1 - SQL Injection Detección Básica”); flow:to_server,established;uricontent:”.pl” ;pcre:”/(\%27)|(\’)|(\-\-)/ix”; classtype:Webapplication-attack; sid:9099; rev:5;)
Como puedes observar, esta regla incluye un Regex simple capaz de detectar algunos pocos de los caracteres utilizados con mayor frecuencia como payload de un ataque SQL Injection (Básicamente comillas simples y guiones):
/(\%27)|(\’)|(\-\-)/ix Referencias: i No case sensitivity x Ingnorar espacios en blanco Claro que el mismo es sumamente básico y seria sumamente sencillo de evadir (variando el patrón de ataque, encodeando de un modo distinto, etc.), pero al menos sirve de ejemplo para que el lector se haga una idea del aspecto de un Regex clásico. Por supuesto que si quisiéramos mejorar algunos aspectos de esta regla, sencillamente podríamos modificar nuevamente el Regex de modo tal que la misma nos permita detectar más variantes en forma tácita, en este caso el típico “‘or 1=1—“. Veamos como sería esto:
Llegado este punto y habiendo hecho un repaso general de los sistemas basados en firmas, podemos inferir fácilmente que haciendo una simplificación de tal aspecto, cualquier modificación no contemplada en una firma, podría en principio pasar desapercibida para muchos de los IDS/IPS tradicionales. Por ejemplo, como hemos mencionado, una de las artimañas típicas al momento de lanzar un ataque de SQL Injection, se encuentra relacionada con la posibilidad de enviar “strings de comparación verdadera” clásicos como por ejemplo: ‘OR 1=1— Esta claro que ataques de este tipo seguramente se encontraran incluidos entre sus firmas de IDS, pero algunas modificaciones podrían eventualmente no estarlo en todas las implementaciones:
Como ven, cada uno de estos strings luce de forma diferente respecto de firmas estáticas, y aunque algunos son muy distintos entre si, todos comprenden un “string de condición verdadera” capaz provocar situaciones indeseadas en aplicaciones vulnerables. En rigor de verdad, lo que se intenta mostrar con estos ejemplos es que prácticamente por cada firma inventada, una nueva técnica de evasión es factible de ser llevada a cabo. Por otra parte y en rigor de verdad, si bien una posibilidad es la de construir firmas genéricas (Por ejemplo detectar la ocurrencia de “or’s”), esto trae aparejado el crecimiento exponencial de los falsos positivos, situación que en ciertas circunstancias podría resultar por ser aun peor que la enfermedad (A menudo, el OR por ejemplo puede ser parte de código valido!, en otras circunstancias, sencillamente podría reemplazarse por su valor encodeado).
OR ‘cualquiercosa’ = ‘cualquiercosa’ OR ‘cualquiercosa’ = N’cualquiercosa’
Una cuestión de Espacios y Comentarios
Como habrás podido observar en el ejemplo anterior, la inserción de un carácter adicional (N), le dice al SQL Server que el siguiente string, debe ser tratado como nvarchar. Esto no altera en nada la comparación desde el punto de vista de la lógica utilizada (es decir, la igualdad sigue dando un resultado verdadero), pero si podría alterar la identificación por firmas, pues el string resultante ya no es el mismo. (Si quieres intentar esto, no tienes más que hacerlo con SQL Server a través del Query Analayzer tal como se muestra en la Figura 1) Del mismo modo, los ejemplos dispuestos a continuación, también podrían tener alguna chance de no alterar tu IDS:
Para ser sincero, las posibilidades son muchas y a menudo dependen bastante de la inventiva del testeador o intruso, según sea el caso. Otra técnica de evasión utilizada habitualmente, se basa por ejemplo en la interpretación de los espacios como parte de una sentencia SQL. Si bien es cierto que la mayoría de las firmas, tienen en cuenta las combinaciones con espacios, comúnmente utilizadas, aún siguen existiendo opciones no contempladas. En este caso, me estoy refiriendo a la simbolización de comentarios “like C” utilizada por Microsoft SQL, que si bien es desconocida por gran parte de los desarrolladores SQL, la misma se encuentra implementada y disponible!!!. Veamos el ejemplo: (Figuras 2 y 3)
OR ‘cualquiercosa’ = ‘cualquier’+’cosa’ OR ‘cualquiercosa’ LIKE ‘cualquiercosa’ OR ‘cualquiercosa’ LIKE ‘%’ OR ‘cualquier%’ > ‘a’ OR ‘cualquiercosa’ < ‘z’ OR ‘cualquiercosa’ BETWEEN ‘A’ AND ‘Z’
/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\ %72)|r|(\%52))/ix Referencias: \w* Cero o más caracteres alfanuméricos o underscore (\%6F)|o|(\%4F))((\%72)|r|(\%52) Varias combinaciones de la palabra ‘or’ (May/Min/ Hex) i No case sensitivity x Ignorar espacios en blanco Ahora bien, cuando hablamos de evasión, en general varias son las alternativas. Entre las más comunes se encuentran: · Evasión básica utilizando diferentes encoders. · Evasión por medio de la inclusión de espacios en blanco. · Evasión vía fragmentación y segment-
11
Figura 3
‘/**/OR/**/1/**/=/**/1-UNION/**/SELECT … UN/**/ION/**/SELE/**/CT … HAVING/**/1=/**/1 ; EXEC(‘INS’+’ERT INTO...’)
12 Security&technology | AGOSTO 06
Como puedes notar, una vez mas hemos incluido en estos payloads, varios caracteres que si bien no tienen ingerencia desde el punto de vista de la lĂłgica SQL (ÂĄ son caracteres validos y las sentencias reales siguen siendo ejecutables!) podrĂan tranquilamente no coincidir con la firma tradicional que sueles incluir en la configuraciĂłn de tu IDS.
ď&#x20AC;Ś Referencias y
â&#x20AC;&#x153;SQL Injection â&#x20AC;&#x201C; Un Repaso...â&#x20AC;? (Spanish Paper) http://www.hernanracciatti.com.ar â&#x20AC;&#x153;Advance SQL Injection in SQL Server Applicationsâ&#x20AC;? â&#x20AC;&#x153;(More) Advance SQL Injectionâ&#x20AC;? http://www.ngssoftware.com
Defensa Efectiva Bien, detengĂĄmonos tan solo unos minutos a fin de mencionar algunas de las contramedidas que podrĂamos adoptar al momento de mejorar nuestro poder de detecciĂłn respecto de este tipo de ataques. En primer lugar, tal como planteĂĄramos al inicio, si bien teĂłricamente es posible agregar tantas firmas como ataques conozcamos, seguramente muchos de estos quedarĂan fuera de nuestro ratio de detecciĂłn, ya sea porque se trata de nuevos ataques, o porque sencillamente es imposible contemplar todas las opciones. Un acercamiento diferente, podrĂa pasar por generar pocas firmas pero bien genĂŠricas, lo cual requerirĂa de un â&#x20AC;&#x153;fine tunningâ&#x20AC;? de unos cuantos meses y un conocimiento absoluto de la aplicaciĂłn que estamos intentando proteger, de modo tal que nuestro sistema de detecciĂłn, no impida el trabajar con ella legalmente. Por otra parte, tanto en el mundo Unix/Linux (En particular Apache Web Server) como en el de Microsoft (En particular IIS), existen una serie de herramientas que podrĂan colaborar en gran medida al proveer una capa de protecciĂłn adicional al tradicional esquema de firewall/IDS/ IPS. En este caso puntual me estoy refiriendo a â&#x20AC;&#x153;ModSecurity(TM)â&#x20AC;? y â&#x20AC;&#x153;URLScanâ&#x20AC;? respectivamente, aplicaciones que aunque bastante diferentes entre sĂ, permiten implementar una serie de contramedidas especĂficas con fines â&#x20AC;&#x153;similaresâ&#x20AC;?, es decir detectar/detener ataques en la capa de aplicaciĂłn (Fundamentalmente relacionados con HTTP). Solo a modo de introducciĂłn, te dirĂŠ que â&#x20AC;&#x153;ModSecurity(TM)â&#x20AC;? (Figura 4) (TĂŠcnicamente Mod_Security :D ), no es mas que un mĂłdulo de Apache que brinda detecciĂłn y prevenciĂłn de intrusos al servidor Web Apache; actuando como lo que hoy en dĂa se conoce como un â&#x20AC;&#x153;Firewall de Aplicacionesâ&#x20AC;?. Si bien su funcionamiento es similar al de los Figura 5 IDS tradicionales, puesto que
lectura complementaria
â&#x20AC;&#x153;Manipulating Microsoft SQL Server Using SQL Injectionâ&#x20AC;? http://www.appsecinc.com â&#x20AC;&#x153;SQL Injection Signatures Evasionâ&#x20AC;? â&#x20AC;&#x153;Blindfolded SQL Injectionâ&#x20AC;? http://www.imperva.com
Figura 4 este trabaja a nivel HTTP se encuentra mucho mas cercano a los ataques de aplicaciĂłn que se montan sobre este protocolo, lo cual le permite hacer cosas que â&#x20AC;&#x153;son simples desde el punto de vista del protocolo HTTP, pero muy difĂcil para un IDS clĂĄsicoâ&#x20AC;?. Por su parte, â&#x20AC;&#x153;URLScanâ&#x20AC;? es una herramienta de seguridad que al instalarse como un filtro ISAPI en IIS (Figura 5), le brinda a este la capacidad de restringir diversos tipos de peticiones HTTP comĂşnmente procesadas por dicho servicio de Internet. Al bloquear peticiones HTTP concretas, dicha herramienta tiene la facultad de poder prevenir la posibilidad de que peticiones con un payload potencialmente daĂąino puedan alcanzar el servidor. URLScan se puede instalar directamente sobre servidores con IIS 4.0 o superior, aunque en el caso de IIS 6.0, te
#%6 #/.35,4).'
recomiendo que analices la opciĂłn de utilizar las propiedades de seguridad de configuraciĂłn del mismo IIS, puesto que gran parte de los aspectos de URLScan, ya se encuentran implementados por defecto en IIS 6.0.
ConclusiĂłn Como has podido observar en estas pocas lĂneas, varias son las tĂŠcnicas que pueden ser empleadas al momento de intentar la evasiĂłn de firmas respecto de un tipo de ataque en particular como SQL Injection. Claro esta que en la vida real no todo es tan sencillo y que muchos IDS/IPS seguramente ya habrĂĄn previsto este tipo de variantes (Âżo no?), pero al menos luego de leer estos pĂĄrrafos, tendrĂĄs la oportunidad de revisar la configuraciĂłn de tus sistemas de detecciĂłn de intrusos y verificar de forma prĂĄctica, el modo en que este tipo de reglas se encuentran implementadas. Por otra parte, queda claro que hoy dĂa resulta imperioso la necesidad de incluir una capa mĂĄs en la defensa de nuestros activos informĂĄticos, la cual se encuentra compuesta por lo que prominentemente se ha dado en llamar â&#x20AC;&#x153;Firewalls de AplicaciĂłnâ&#x20AC;?, un segmento sobre el cual sin lugar a dudas deberĂas fijar tu atenciĂłn. Por ultimo, nunca esta de mas recordarte que cuando hablamos de SQL Injection, o cualquier otro tipo de ataque relacionado con las aplicaciones y/o almacenes de datos, no existe mejor contramedida que las buenas practicas de programaciĂłn, aplicadas al desarrollo de productos de software, nunca olvides que si una aplicaciĂłn no es vulnerable, probablemente no debas complicarte con cuestiones tales como detecciĂłn y evasiĂłn.
#%6 #ONSULTING ES UNA EMPRESA .ACIONAL Y DE PROYECCIÂ&#x2DC;N 2EGIONAL QUE BRINDA SERVICIOS DE #ONSULTOR¤A Y 'ESTIÂ&#x2DC;N EN EL Ă&#x2013;REA DE 2ECURSOS (UMANOS ESPECIALIZĂ&#x2013;NDOSE EN EL Ă&#x2013;REA DE 3ISTEMAS DE )NFORMACIÂ&#x2DC;N Y 4ELECOMUNICACIONES .UESTROS CLIENTES SON LAS GRANDES Y MEDIANAS ORGANIZACIONES QUE OPERAN EN LOS SECTORES DE LA INDUSTRIA COMERCIO Y SERVICIOS
#ONTACTO
!V 3ANTA &ÂŁ 0ISO Â&#x17D; /FICINA h"v # !!! "UENOS !IRES 4EL &AX
WWW CEVCONSULTING COM AR
ModSecurity(TM) (Open Source Web Application Firewall) http://www.modsecurity.org URLScan http://www.microsoft.com/technet/security/tools/urlscan.mspx
13
MPLS MPLS (Multi-Protocol Label Switching) es una solución clásica y estándar al transporte de informacion en las redes, utilizando Routing de paquetes con ciertas garantías de entrega. Aportando velocidad, calidad de servicio y facilitando la gestión de los recursos en la red, MPLS es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios P. Line, Frame Relay o ATM. » Por Gabriel Schwartz
M
PLS (Multi-Protocol Label Switching) es una solución clásica y estándar al transporte de informacion en las redes, utilizando Routing de paquetes con ciertas garantías de entrega. Aportando velocidad, calidad de servicio y facilitando la gestión de los recursos en la red.MPLS es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios P. Line, Frame Relay o ATM. Ofrece niveles de rendimiento diferenciados y priorización del tráfico, así como aplicaciones de voz y multimedia. Y todo ello en una única red. MPLS (Multiprotocol Label Switching) intenta conseguir las ventajas de ATM, pero sin sus inconvenientesAsigna a los datagramas de cada flujo una etiqueta única que permite una conmutación rápida en los routers intermedios (solo se mira la etiqueta, no la dirección de destino)
Funcionamiento del MPLS La base del MPLS está en la asignación e intercambio de etiquetas, que permiten el establecimiento de los caminos LSP por la red. Los LSPs son simplex por naturaleza (se establecen para un sentido del tráfico en cada punto de entrada a la red); el tráfico dúplex requiere dos LSPs, uno en cada sentido. Al igual que en las soluciones de conmutación multinivel, MPLS separa las dos componentes funcionales de control (routing) y de envío (forwarding). Del mismo modo, el envío se implementa mediante el intercambio de etiquetas en los LSPs. Sin embargo, MPLS no utiliza ninguno de los protocolos de señalización ni de encaminamiento definidos por el ATM Forum; en lugar de ello, en MPLS o bien se utiliza el protocolo RSVP o bien un nuevo estándar de señalización (el Label Distribution Protocol, LDP, del que se tratará más adelante). Pero, de acuerdo con los requisitos del IETF, el transporte de datos puede ser cualquiera. Si éste fuera ATM, una red IP habilitada para MPLS es ahora mucho más sencilla de gestionar que la solución clásica IP/ATM. Ahora ya no hay que administrar dos arquitecturas diferentes a base de transformar las direcciones IP y las tablas de encaminamiento en las direcciones y el encaminamiento ATM: esto lo resuelve el procedimiento de intercambio de etiquetas MPLS. El papel de ATM queda restringido al mero transporte de datos a base de celdas. Para MPLS esto es indiferente, ya que puede
utilizar otros transportes como Frame Relay, o directamente sobre líneas punto a punto. Un camino LSP es el circuito virtual que siguen por la red todos los paquetes asignados a la misma FEC. Al primer LSR que interviene en un LSP se le denomina de entrada o de cabecera y al último se le denomina de salida o de cola. Los dos están en el exterior del dominio MPLS. El resto, entre ambos, son LSRs interiores del dominio MPLS. Un LSR es como un router que funciona a base de intercambiar etiquetas según una tabla de envío. Esta tabla se construye a partir de la información de encaminamiento que proporciona la componente de control. Cada entrada de la tabla contiene un par de etiquetas entrada/salida correspondientes a cada interfaz de entrada, que se utilizan para acompañar a cada paquete que llega por ese interfaz y con la misma etiqueta. A un paquete que llega al LSR por el interfaz 3 de entrada con la etiqueta 45 el LSR le asigna la etiqueta 22 y lo envía por el interfaz 4 de salida al siguiente LSR, de acuerdo con la información de la tabla.El algoritmo de intercambio de etiquetas requiere la clasificación de los paquetes a la entrada del dominio MPLS para poder hacer la asignación por el LSR de cabecera. En la figura el LSR de entrada re-
pecificaciones del IETF, MPLS debía funcionar sobre cualquier tipo de transporte: PPP, LAN, ATM, Frame Relay, etc. Por ello, si el protocolo de transporte de datos contiene ya un campo para etiquetas (como ocurre con los campos VPI/VCI de ATM y DLCI de Frame Relay), se utilizan esos campos nativo para las etiquetas. Sin embargo, si la tecnología de nivel 2 empleada no soporta un campo para, entonces se emplea una cabecera genérica MPLS de 4 octetos, que contiene un campo específico para la etiqueta y que se inserta entre la cabecera del nivel 2 y la del paquete (nivel 3). Los 32 bits de la cabecera MPLS se reparten en: 20 bits para la etiqueta MPLS, 3 bits para identificar la clase de servicio en el campo EXP (experimental, anteriormente llamado CoS), 1 bit de stack para poder apilar etiquetas de forma jerárquica (S) y 8 bits para indicar el TTL (time-to-live) que sustenta la funcionalidad estándar TTL de las redes IP.
«Ahora ya no hay que administrar dos arquitecturas diferentes a base de transformar las direcciones IP y las tablas de encaminamiento en las direcciones y el encaminamiento ATM: esto lo resuelve el procedimiento de intercambio de etiquetas MPLS.» cibe un paquete normal (sin etiquetar) cuya dirección de destino es 212.95.193.1. El LSR consulta la tabla de encaminamiento y asigna el paquete a la clase FEC definida por el grupo 212.95/16. Asimismo, este LSR le asigna una etiqueta y envía el paquete al siguiente LSR del LSP. Dentro del dominio MPLS los LSR ignoran la cabecera IP; solamente analizan la etiqueta de entrada, consultan la tabla correspondiente (tabla de conmutación de etiquetas) y la reemplazan por otra nueva, de acuerdo con el algoritmo de intercambio de etiquetas. Al llegar el paquete al LSR de cola (salida), ve que el siguiente salto lo saca de la red MPLS; al consultar ahora la tabla de conmutación de etiquetas quita ésta y envía el paquete por routing convencional.La identidad del paquete original IP queda enmascarada durante el transporte por la red MPLS, que no “mira” sino las etiquetas que necesita para su envío por los diferentes saltos LSR que configuran los caminos LSP. Las etiquetas se insertan en cabeceras MPLS, entre los niveles 2 y 3. Según las es-
Aplicaciones Funciones de ingeniería de tráfico (a los flujos de cada usuario se les asocia una etiqueta diferente) Policy Routing, Servicios de VPN, Servicios que requieren QoS La idea de MPLS es realizar la conmutación de los paquetes o datagramas en función de las etiquetas añadidas en capa 2 y etiquetar dichos paquetes según la clasificación establecida por la QoS en la SLA.Por lo tanto MPLS es una tecnología que permite ofrecer QoS, independientemente de la red sobre la que se implemente.El etiquetado en capa 2 permite ofrecer servicio multiprotocolo y ser portable sobre multitud de tecnologías de capa de enlace: ATM, Frame Relay, líneas dedicadas, LANs.De este modo, las cabeceras MPLS permiten cualquier tecnología o combinación de tecnologías de transporte, con la flexibilidad que esto supone para un proveedor IP a la hora de extender su red. Esta informacion fue sacada de algunos cur-
sos introductorios realizados e informacion recaudada del sitio de cisco. Ademas de material Bibliografico especializado en el tema. No prentendo explicar en detalle el MPLS sino mas bien dar una introduccion y generar interes al lector sobre el mismo. Espero en un futuro dar una mini guia de como configurarlo y ver algunos comandos de troubleshooting. Muchas gracias y hasta la próxima.
Seminarios Gratuitos
• CISSP (Certified Information Systems Security Professional) • Cisco Pix Firewall • C E H (Certified Ethical Hacker) • Informática Forense • Ethical Hacking • Seguridad y Hacking Wireless • Delitos Informaticos • Seguridad Informática • SQL Security / SQL Injection
Mas info e inscripcion: www.securityc.com seminarios@securityc.com
14 Security&technology | AGOSTO 06
Introducción al Análisis Forense en entornos GNU/Linux » Por Federico Pacheco
Introducción En 1996, el científico de computadoras Peter Gutmann de la Universidad de Auckland, publicó un artículo donde demostró que la recuperación de datos de memoria es posible con un equipamiento de entre 1000 y 2500 dólares, incluso tras sobreescribir datos. En agosto de 1999, Dan Farmer (Earthlink) y Wietse Venema (IBM) dieron una clase sobre GNU/Linux Forensics, en la que mostraban cómo extraer información de este S.O. Este hecho dió pie al nacimiento de una de las mas renombradas herramientas: “The Coroner’s Toolkit” (TCT). La elección de Linux como plataforma del análisis forense se debe a diversas causas que lo hacen ideal. Entre estas ventajas, el kernel de Linux tiene soporte nativo para múltiples sistemas de archivos, pueden estudiarse sistemas comprometidos que no sean GNU/ Linux, tiene soporte para dispositivos de “loopback”, que permiten montar un sistema de archivos dentro de un archivo. También puedo crear una imagen y montarla.
Dos herramientas clásicas · The Coroner’s Toolkit (TCT) es la herramienta de analisis forense por excelencia. Las aplicaciones más importantes del suite son: · grave-robber: captura información sobre inodos, luego los procesa “mactime” · unrm y lazarus: recuperación de archivos borrados · mactime: visualiza los archivos, directorios y su timestamp MAC (Modification, Access, y Change) · THC – SecureDelete está basada en la investigación de Gutmann. Su algoritmo efectua una sobreescritura casi 40 veces, flusheando la caché de disco después de cada una. Luego trunca el archivo y lo renombra aleatoriamente antes de efectuar el unlink(). Se distribuye en el paquete secure-delete, que contiene: · srm · smem · sfill · sswap
ESTUDIO PREVIO Un servidor comprometido puede estar troyanizado o con rootkits. Es aconsejable extraer el disco de la máquina afectada y montarlo en modo sólo lectura en una estación de análisis. Se debe montar también como “noexec” y “nodev” para que no puedan ser ejecutadas aplicaciones y que se ignoren los dispositivos. Antes de apagar el equipo, no olvidar recoger información que no ha sido cambiada por los intrusos, hacer en lo posible tres copias del disco (bit por bit), y realizar verificaciones (checksum) sobre original y copias.
Recolección de la evidencia Backup de discos Para realizar una copia a nivel de bit de los datos y enviarlos (si es posible) a otro equipo, necesitamos una herramienta que lo re-
alice a nivel de bits. El comando “dd” lleva a cabo esta tarea, y para aprovecharlo podemos hacer lo siguiente: En el equipo analizado: #dd if=/dev/sda4 of =
– | nc equipo_remoto –p 1000 En el equipo remoto: #nc –s –p 1000 > sda4 En este caso se está haciendo el envío de la imagen a un equipo remoto por medio de “netcat”, la queridísima navaja suiza del TCP/IP. Esto se realiza sin encriptación alguna, para hacerlo de modo seguro puede utilizarse “ssh”. Captura de archivos y directorios (snapshot):
#ls -Rla / > /mnt/floppy Backup de la memoria Volcado de Memoria Fisica: /dev/mem y /dev/
kmem Volcado de Procesos: /proc, lsof y showproc Volcado de FileDescriptors: Un FD es un índice a una tabla de descriptores que mantiene el kernel para un proceso Asociada a esa entrada en la tabla hay información referente al modo en que se está empleando ese archivo. Backup del MBR Si se tiene más de un sistema operativo puede ser interesante hacer una copia del MBR, esto es, normalmente los primeros 512 bytes físicos del disco rígido.
# dd if=/dev/hda of=/boot/arranque.mbr count=1 bs=512 Y luego si queremos restaurarlo: # dd of=/dev/ hda if=mbr.backup Archivos de auditoria y el sistema de logs Los archivos de configuración son la manera de interactuar con las opciones de las aplicaciones y el sistema, los de aauditoría contienen información sobre accesos de usuarios, mensajes del kernel, arranque y parada del sistema., errores de ciertos demonios y cualquier otro dato que pueda ser de utilidad y que pueda registrarse. Muchos de estos se encuentran en los directorios /var/log o /var/adm. Los logs nos darán información si y solo si fueron concebidos para ello en el proceso de administración, es decir, si bien existen logs por defecto, la correcta configuración de los mismos hará que llegado el caso un auditor tenga datos adecuados como para analizar lo ocurrido. La gestión de los archivos log comprende la selección de eventos a registrar, los ciclos de rotación, la compresión de los logs y las verificaciones de integridad. El demonio syslogd ss el encargado de guardar informes sobre el funcionamiento de la máquina. Básicamente recibe mensajes de las diferentes partes del sistema (núcleo, programas) y los envía y/o almacena en diferentes localizaciones. Sigue un criterio definido en el archivo de configuración /etc/syslog.conf Los logs suelen ser texto plano (Ej: messages), pero algunos no lo son (Ej: wtmp, utmp, lastlog, faillog) y se consultan con comandos como “who”, o “last”. Es difícil detectar si los logs han sido manipulados, no puede confiarse en los logs si el sistema fue comprometido. Puede decidirse setear
el flag ‘append’ a los archivos de log para evitar que se escriba en otro lugar que no sea al final, pero esto bloquea la funcionalidad normal del logrotate (Sintaxis: # chattr +a <archivo>). Una buena medida de seguridad sería enviar los logs a un host seguro, o bien implementar criptografía además de un syslog remoto. Debe tenerse sumo cuidado con los rootkits, que son grupos de programas cuidadosamente modificados para resultar indetectables y brindar fácil acceso como root. Estos suelen reemplazar ejecutables del sistema por versiones hackeadas que evitarán que se detecte que algo extraño está sucediendo. Es inútil intentar eliminar los problemas de un sistema con rootkit.
Recolección de evidencia · Para la búsqueda de datos en el disco rígido podemos ejecutar (todo como root) Enumeración de setuids: # find / -user +4000 Usuarios agregados o modificados (UID 0): #
cat /etc/shadow · Chequeo de rootkits: #./chkrootkit File Slack / Espacio no asignado: # strings /
mnt/xxx | grep cadena · Para la búsqueda de datos en la memoria: #
strings /proc/kmem | grep cadena · En el proceso de control del sistema: Comandos de diagnóstico: who, last Servicios no autorizados: # ps aux Puertos abiertos: # netstat -an · Herramientas automatizadas TCT (The Coroner’s Toolkit), mencionada anteriormente. The SleuthKit +Autopsy Forensic Browser, una completa suite de análisis forense Soluciones LiveCD (FIRE, Auditor, KnoppixSTD, Pentoo)
Configuraciones seguras Una configuración segura y un buen hardening de plataforma pueden prevenir numerosos incidentes de seguridad. No deben olvidarse los analizadores de logs, herramienta fundamental en el estudio de la gran cantidad de información obtenida en la auditoría. En cuando a los Sistemas de Detección de Intrusos, las alternativas más comunes para
Linux son SNORT, AIDE y LIDS. La protección del entorno de ejecución evita muchos problemas, para ellos contamos con parches de kernel (GRSecurity) y parches para los compiladores (Stackguard). Los chequeos de integridad se hacen mediante herramientas de verificación (Ej: Tripwire, COPS).
Antiforense Debe tenerse en cuenta la existencia de software y técnicas antiforense, como por ejemplo el hecho de que un intruso analice el filesystem en busca de herramientas de auditoría e IDS. Es posible en un alto nivel de escalado de privilegios, deshabilitar el sistema de auditoría al ingresar y reiniciarlo al salir. Un intruso con buenos conocimientos nunca borrará un log, sino que lo modificará. En cuanto al historial del shell (en bash: “.bash_history”), no sirve borrarlo ya que se escribe al desloguearse, pero puede ser desactivado con “unset HISTFILE”. El uso de herramientas automatizadas para el borrado de logs también pueden ser un problema, pero debe tenerse cuidado con las rutas al compilarlos, ya que no todos los sistemas son idénticos, por lo tanto no está de mas cambiar algunas rutas por defecto. También se consideran técnicas mas avanzadas para el análisis de la evidencia, como por ejemplo, acudir a la ingeniería inversa para ver qué hace un binario intruso.
Recursos de programación Los pasos a seguir para un análisis más avanzado de un sistema GNU/Linux puede incluir el análisis de la memoria física, mapeo de todos los procesos en ejecución, recuperación de passwords de sistema y aplicaciones, análisis de variables de entorno. Algunas bibliotecas de programación donde encontraremos información útil a la hora de conocer como están organizados los datos en la memoria de nuestro sistema:
· <Linux/mm.h> · <Linux/mmzone.h> · /usr/src/linux/mm/* (especialmente page_alloc. c) · /usr/src/linux/arch/i386/mm/*
15
Auditoría de seguridad en empresas La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad. » Por Juan E. Pecantet
La importancia en que radica la auditoria de sistemas en las organizaciones son: · Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa. ·Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático. · La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa. · Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.
tarias significativas. · Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad. · Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo. · El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento. · Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción. La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también
«El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan en el día a día.» · Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización. · En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupues-
como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información. El auditar la seguridad de los sistemas,
también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus. En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos: · Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia. · Evaluación de vulnerabilidades y arquitectura de seguridad implementada. · Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.
Metodología de trabajo de Auditoria El método del auditor pasa por las siguientes etapas: · Alcances y Objetivos de la Auditoria Informática. · Estudio inicial del entorno auditable. · Determinación de los recursos necesarios para realizar la auditoria. · Elaboración de Plan y de los Programas de trabajo. · Actividades propiamente dichas de la auditoria. · Confección y elaboración del informe final. Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos. La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día. Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad - Autentificación - Integridad - Confidencialidad Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o
de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles. Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son: · Interceptación de las comunicaciones. · Acceso no autorizado a ordenadores o Redes de ordenadores · Perturbación de las redes. · Ejecución de programas que modifiquen o dañen los datos. · Declaración falsa. · Accidentes no provocados. · Robo de datos. · Infiltración de datos críticos.
Los beneficios de un sistema de seguridad son: · Aumento de la productividad · Aumento de la motivación del personal · Compromiso con la misión de la compañía · Mejoras de las relaciones laborales · Mejoras del rendimiento · Mayor profesionalismo · Ayuda a formar equipos competentes · Mejora los climas laborares de los RR.HH Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.
Etapas para implementar un sistema de seguridad · Introducir el tema de seguridad en la visión de la empresa. · Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes. · Capacitar a los gerentes y directivos, contemplando el enfoque global. · Designar y capacitar supervisores de área. · Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo. · Mejorar las comunicaciones internas · Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel · Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.
16 Security&technology | AGOSTO 06
Wireless LAN como alternativa a las redes cableadas tradicionales Âť Por Ing. Fabian Calvete ÂżQuĂŠ es una Wireless LAN? En los tĂŠrminos mĂĄs simples, una red de ĂĄrea local inalĂĄmbrica (WLAN) hace exactamente lo que su nombre implica: proporciona todas las funcionalidades y beneficios de las tecnologĂas LAN tradicionales, como Ethernet y Token Ring, sin las limitaciones que imponen los cables. De todos modos una WLAN requiere de un medio por donde se desplace la seĂąal de transmisiĂłn emitida por un dispositivo, en lugar de usar pares de cobre trenzados o fibra Ăłptica las WLAN usan radiofrecuencias (RF) o luz infrarroja. El uso de RF es la tĂŠcnica mĂĄs popular, alcanzando rangos extensos que permiten cubrir amplias zonas, contando ademĂĄs con un ancho de banda considerable para una mejor transmisiĂłn. WLAN utiliza las frecuencias de 2,4 Ghz y 5 Ghz, estas porciones del espectro de RF se encuentran reservadas en la mayor parte del mundo y no necesitan licenciamiento, es decir, la realizaciĂłn de trĂĄmites formales ante una entidad oficial que regule las comunicaciones. Los sistemas wireless no son completamente â&#x20AC;&#x153;sin alambresâ&#x20AC;?, estos sistemas estĂĄn diseĂąados y construidos usando microprocesadores y circuitos digitales, estando normalmente conectados a los tradicionales sistemas LAN con cables. AdemĂĄs los dispositivos wireless deben ser alimentados elĂŠctricamente para que dispongan de la energĂa necesaria para poder codificar, decodificar, comprimir, descomprimir, transmitir y recibir las seĂąales inalĂĄmbricas. La primera generaciĂłn de dispositivos WLAN, con sus bajas velocidades y la falta de estĂĄndares, no fueron muy populares, sin embargo las normas actuales permiten la transferencia de informaciĂłn a velocidades aceptables. El comitĂŠ IEEE 802.11 y la alianza Wi-Fi han trabajado con mucho esfuerzo para lograr la estandarizaciĂłn de los equipos wireless y la interoperabilidad entre los mismos. Teniendo en cuenta que la tecnologĂa wireless puede ahora soportar velocidades de transferencia de datos mayores que a sus inicios, que el costo de los dispositivos necesarios para su implementaciĂłn ha bajado considerablemente y que los problemas de interoperabilidad han sido solucionados, las WLAN constituyen una
opciĂłn recomendable para resolver la conectividad entre nodos. Actualmente las redes cableadas operan a velocidades que varĂan entre los 10 Mbps, 100 Mbps y 1 Gbps, mientras que las WLAN operan a 11 Mbps o 54 Mbps. Debido a esto cabe hacerse la siguiente pregunta: ÂżPor quĂŠ instalar un sistema que trabaja con velocidades menores a las tecnologĂas LAN actuales? Una de las razones es que en entornos de LAN pequeĂąos, las bajas velocidades son adecuadas para soportar las aplicaciones y necesidades de los usuarios, con muchas oficinas operando remotamente contra un sitio central a travĂŠs de Internet, accediendo a la red de redes por medio de servicios de banda ancha como ADSL o CablemĂłdem, donde las velocidades de acceso estĂĄn en el orden de 128 Kbps para el upstream o subida de datos a la red y 512 Kbps en el dowmstream o bajada de datos desde la red. Otra razĂłn es que las WLAN permiten a los usuarios disponer de un servicio de roaming o movilidad, lo que significa que un cliente wireless puede desplazarse con su equipo sin perder conectividad. Durante los cambios de configuraciĂłn que sufren muchas oficinas en el aĂąo, las WLAN no requieren recablear nada, por lo que no ocasionan gastos adicionales. Otras ventajas asociadas a esta tecnologĂa son: ¡ Alta disponibilidad ¡ Escalabilidad ¡ Manejabilidad o facilidad de gestiĂłn ¡ Arquitectura abierta Las WLAN pueden ser usadas tambiĂŠn para brindar conectividad sitio a sitio, a distancias que pueden llegar hasta los 40 Km, si las condiciones fĂsicas y ambientales lo permiten, lo cual es mucho mĂĄs conveniente que recurrir a enlaces WAN o a la instalaciĂłn de largos tramos de fibra Ăłptica.
EvoluciĂłn de WLAN Las primeras tecnologĂas de WLAN definidas por el estĂĄndar 802.11 eran de baja velocidad, permitiendo alcanzar velocidades entre 1 a 2 Mbps. A pesar de esta deficiencia, la flexibilidad y movilidad que caracterizan a los productos wireless permitieron que los
353#2)"!3%
2EGISTRANDOSE EN WWW ST MAGAZINE COM OBTIENE LOS SIGUIENTES BENEFICIOS s .EWSLETTER MENSUAL CON EL RESĂ&#x17E;MEN DE LA REVISTA s $ESCARGA GRATUITA DE LA REVISTA EN VERSIĂ&#x2DC;N DIGITAL 0ARA RETIRAR SU EJEMPLAR IMPRESO Y ENVĂ&#x201C;OS A DOMICILIO CONSULTAR EN SUSCRIPCION ST MAGAZINE COM 0ARA MĂ&#x2030;S INFORMACIĂ&#x2DC;N WWW ST MAGAZINE COM
17
mismos encuentren un lugar en el mercado global. Usuarios móviles utilizan dispositivos hand-held para la realización de inventarios y recolección de datos en almacenes. Posteriormente, los hospitales comenzaron a usar tecnología wireless para reunir y entregar información de pacientes, junto a sus camas. A medida que las computadoras se abrieron paso en las aulas, escuelas y universidades, comenzó la instalación de redes inalámbricas para evitar costos de cableado y para compartir el acceso a Internet. Ante estos indicadores, los fabricantes de productos wireless se dieron cuenta de que para que la tecnología obtuviera una amplia aceptación en el mercado, era necesario un estándar semejante al de Ethernet. Por este motivo se reunieron en 1991, formando la Wireless Ethernet Compatibility Alliance (WECA). WECA propuso un estándar basado en la contribución de tecnologías. WECA cambió más tarde su nombre al de WiFi. En julio de 1997 el IEEE lanzó el estándar 802.11 para redes de área local wireless. Así como el estándar 802.3 de Ethernet permite la transmisión de datos a través de par trenzado y cable coaxil, el estándar WLAN 802.11 permite la transmisión a través de diferentes medios: · Luz infrarroja · Transmisión de radio dentro de la banda de frecuencia sin licencia de 2,4 Ghz: Frequency Hopping Spread Spectrum (FHSS Espectro esparcido con salto de frecuencia) Direct Sequence Spread Spectrum (DSSS Espectro esparcido con secuencia directa) 802.11b Orthogonal frequency-division multiplexing (OFDM - Multiplexación por división de frecuencias ortogonales) 802.11g · Transmisión de radio dentro de la banda de frecuencia sin licencia de 5 Ghz: Orthogonal frequency-division multiplexing (OFDM - Multiplexación por división de frecuencias ortogonales) 802.11a Spread Spectrum es una técnica de modulación desarrollada en 1940 que expande una señal de transmisión a través de una amplia banda de frecuencias de radio. Esta técnica es ideal para las comunicaciones de datos debido a que es menos susceptible al ruido y crea poca interferencia. FHSS se limita a una velocidad de transferencia de datos de 2 Mbps y se recomienda sólo para aplicaciones muy específicas. Para la mayoría de las aplicaciones LAN inalámbricas DSSS es la mejor opción, permitiendo alcanzar una velocidad de datos muy semejante a la de Ethernet, de 11 Mbps, utilizando la frecuencia de 2,4 Ghz tal cual lo establece el estándar 802.11b. El estándar
802.11a, utiliza la frecuencia de 5 Ghz para alcanzar una velocidad de 54 Mbps, usando OFDM como técnica de modulación. El nuevo estándar 802.11g permite alcanzar la misma velocidad que 802.11a, es decir 54 Mbps, pero empleando la frecuencia de 2,4 Ghz con OFDM como técnica de modulación.
El medio wireless: La Atmósfera Las señales de wireless son ondas electromagnéticas, las cuales viajan a través del espacio. Ningún medio físico es necesario para las señales de wireless, las cuales se desplazan a través del vacío como lo hacen a través del aire existente en un edificio de oficinas. La habilidad de las ondas de radio de pasar a través de paredes y cubrir grandes distancias, hace de la tecnología wireless una manera versátil a tener en cuenta para el diseño e implementación de una red de datos. Las ondas del espectro electromagnético difieren sólo en su frecuencia. Entre ellas encontramos: · Ondas de potencia · Ondas de radio · Microondas · Ondas de luz infrarroja · Ondas de luz visible · Ondas de luz ultravioleta · Rayos-X · Rayos Gamma Todas estas ondas comparten algunas características importantes: · Se desplazan a la velocidad de la luz en el vacío (c) es decir: c = 3 x 10 8 metros por segundo, esta velocidad puede ser llamada más apropiadamente velocidad de las ondas electromagnéticas. · Obedecen a la ecuación: c = frecuencia x longitud de onda · Pueden tener diferentes interacciones con materiales diversos · La diferencia primaria entre ondas electromagnéticas distintas es su frecuencia. Ondas con bajas frecuencias tienen una longitud de onda larga, mientras que ondas con altas frecuencias tienen una longitud de onda corta. La longitud de onda representa la distancia desde un pico hasta el próximo en una onda senoidal.
Componentes Adaptadores para clientes Los adaptadores para clientes permiten brindar al usuario las propiedades de libertad, flexibilidad y movilidad propias de una red wireless. Podemos encontrar adaptadores PCMCIA (PC card) para laptops o notebooks, que brindan al usuario la posibilidad de desplazarse libremente mientras mantienen la conectividad con la red y adaptadores PCI que posibilitan la conexión de esta-
ciones de trabajo de escritorio a la WLAN. Todos los modelos de adaptadores vienen con una antena que proporciona las facilidades necesarias para la transmisión y recepción de información, como así también los drivers requeridos para todos los populares sistemas operativos del mercado, incluyendo Windows 95, 98, ME, Windows NT4.0, Windows 2000, XP, Mac OS y Linux. Un ejemplo de adaptador lo constituye el Cisco Aironet 350 Series Mini-PCI (MPI350). Basado en Direct Sequence Spread Spectrum (DSSS), opera a 2,4 Ghz cumpliendo con el estándar 802.11b. Access Point Un access point o punto de acceso (AP) contiene un transmisor y receptor de radio. Éste puede actuar como el punto central de una red wireless independiente o como el punto de conexión entre una red wireless y una red cableada. En grandes instalaciones, la funcionalidad de roaming o movilidad está provista por múltiples AP, permitiendo a los usuarios moverse libremente por el entorno mientras mantienen acceso ininterrumpido a la red. Los AP pueden presentar variadas tecnologías de diseño, medidas de seguridad y especificaciones de gestión. Algunos AP son de banda dual, soportando tanto la frecuencia de 2,4 Ghz como la de 5 Ghz, mientras que otros sólo pueden soportar una única banda. Algunos AP pueden ser usados como repetidores o puntos de extensión para la red wireless. Un ejemplo de AP lo constituye el Cisco Aironet 1100 y el 1200. El Aironet 1100 soporta el estándar 802.11b y el Aironet 1200 soporta tanto 802.11b como 802.11a. Ambos dispositivos pueden ser adaptados al estándar 802.11g. Bridges Básicamente existen dos tipos de bridges, por un lado aquellos diseñados para conectar dos redes ubicadas en edificios distintos, también llamados Wireless Bridge, que proveen altas velocidades de transmisión y largos rangos de extensión, pero necesitando una conexión por medio de línea de vista, es decir la visión directa entre ambas antenas, una en cada edificio. Por otro lado encontramos los bridges para trabajo de grupo o Workgroup Bridge que permiten la conexión rápida de equipos a una red wireless, proporcionando el enlace entre estos dispositivos y un AP o un Wireless Bridge. Un ejemplo lo constituye el Cisco 350 Wireless Bridge (WB) y el Cisco 350 Workgroup Bridge (WGB). Antenas Existe una gran variedad de antenas que están disponibles para los AP o Bridges, las cuales pueden ser usadas para reemplazar la antena estándar que viene con el equipo. Las antenas deberían ser elegidas con sumo cuidado a los fines de asegurar una cobertura óptima. Cada antena tiene una diferente ganancia, ancho de haz, cobertura y factor de forma. Instalando la antena correcta con el AP correcto permitirá obtener una cobertura eficiente, a una mayor velocidad de transmisión y con la confiabilidad adecuada. Existen dos tipos de antenas: · Antenas direccionales, que irradian energía RF en una única dirección, siendo las más comunes: Yagi, Parabólica sólida, Semi parabólica, Panel o patch. · Antenas Omni-direccionales, que irradian energía RF en forma horizontal cubriendo los
360 grados, siendo las más comunes: Mástil y Dipolo Las antenas usadas en WLAN tienen dos funciones: · Receptor: Esto es el terminador de una señal sobre un medio de transmisión. En comunicaciones es un dispositivo que recibe información, control u otras señales de un origen. · Trasmisor: Esto es el origen o generador de una señal sobre un medio de transmisión.
Mercado Las tecnologías WLAN han tenido un mal comienzo en los inicios de 1990, debido a una variedad de razones entre las cuales podemos citar: · Tecnologías poco maduras · Problemas de seguridad · Bajas velocidades de conexión · Poca interoperabilidad entre las tecnologías existentes Con el correr del tiempo estos inconvenientes iniciales fueron encontrando soluciones apropiadas, que permitieron que las WLAN fueran aceptadas como una solución eficaz al networking, encontrando ambientes de negocios aptos para su implementación, como son: · Industria: especialmente en lo referido a la realización de inventarios y control de stock de mercaderías en diferentes sectores de la planta · Salud: donde las tecnologías wireless proveen a los médicos y enfermeras de accesos, en tiempo real, a la información indispensable para el cuidado de la salud del paciente · Ventas: permitiendo la implementación de puntos de venta fuera del local principal, como sucede en los grandes supermercados de EEUU, donde existen lugares de venta de productos en el área de estacionamiento · Educación: habilitando a los estudiantes y profesores a conectarse a los recursos educacionales en cualquier parte del campus
Conclusiones En la actualidad, la WLAN ha redefinido el concepto de conectividad. Ha extendido las fronteras de la red de área local, convirtiendo a una infraestructura en tan dinámica como sea necesario. Con productos inalámbricos estandarizados e interoperables, las LANs pueden alcanzar escalas inimaginables en una estructura alámbrica. Pueden efectuar interconexiones de alta velocidad por una fracción del costo de las tecnologías de área amplia tradicionales. En un mundo inalámbrico, los usuarios no sólo pueden hacer roaming dentro de un campus sino también dentro de una ciudad, a la vez que se mantiene un enlace de alta velocidad a las Extranets, Intranets y la misma Internet.
18 Security&technology | AGOSTO 06
Seis nuevas barras de herramientas disponibles para Skype Seis barras de herramientas en 3 categorías distintas -e-mail, Microsoft Office y web- podrán ser descargadas de forma gratuita muy pronto desde su página www. skype.com, permitiéndole a sus usuarios iniciar llamadas de voz más fácilmente » Por Santiago Pla
L
as barras de herramientas funcionan de manera similar, escaneando los documentos o páginas web, buscando números telefónicos. Los usuarios de Skype pueden iniciar llamadas con un simple click sobre el número telefónico resaltado. De esta manera, los usuarios se ahorran la molestia del ida y vuelta entre la PC y el teléfono, teniendo que cortar y pegar los números a la vieja usanza. Esto es también un buen negocio, ya que se da la posibilidad de realizar llamadas gratuitas a teléfonos de línea dentro de los EE.UU. y Canadá a través del servicio SkypeOut por el resto del año, además de las llamadas gratuitas a otros usuarios Skype. Estarán disponibles tres versiones de la barra de email: una para Microsoft Outlook, otra para Outlook Express y otra para el cliente de Mozilla, el Thunderbird. Cada uno integrará los contactos de dicha aplicación con Skype.
Las dos barras de herramientas para clientes de Microsoft integrarán también sus respectivas funciones de calendario, permitiendo hacer llamadas desde una entrada generada en el mismo (por el momento Thunderbird carece de esta función).
Microsoft da pelea Finalmente Microsoft ha decidido enfrentarse contra aplicaciones como Skype y en esta versión han incluido Windows Live Call, la cual permite realizar llamadas a través de VoIP.
Dentro de la barra, se tendrá también la posibilidad de anotar el estado de los contactos; si están conectados, desconectados, ocupados o fuera. Además, se añade la posibilidad de agregar “Botones Skype” a las firmas del email, haciendo fácil que otros contactos pinchen en él y llamen automáticamente. Otras características que incluye es la transferencia de archivos a los contactos de Skype desde el email y la capacidad de iniciar una llamada en conferencia vía Skype y SkypeOut con una simple selección de contactos de Outlook y luego clickeando sobre el botón ’conferencia’. De manera similar, con la barra de Office, los números de teléfono que aparecen en documentos de Microsoft Office (incluyendo Excel, PowerPoint y Word) se habilitarán para realizar llamadas o enviar mensajes SMS con Skype. Si el autor de un documento resulta ser otro usuario Skype, se podrá saber si él o ella están online en ese momento. Finalmente, la barra para Web estará disponible tanto para Firefox 1.5 como para Internet Explorer. Esta barra de herramientas reconocerá tanto números telefónicos como nombres Skype dentro de las páginas, y permitirá asimismo iniciar llamadas directas.
Las características añadidas del Live Messenger son: · Nueva interfaz e íconos del estilo Vista · Windows Live Calendar, Windows Live Mail y Windows Live integrados · Servicio Rhapsody Music Service integrado · .NET Passport ha sido reemplazada por Windows Live ID · Una nueva funcionalidad para compartir carpetas que intenta sustituir a la función “enviar archivo”. · La posibilidad de recibir mensajes en estado No Conectado Según el Departamento de Prensa de Microsoft, Windows Live Messenger Beta ya ésta disponible para descargar desde el sitio web de Windows Live Ideas. Los prelanzamientos y las funciones que ya se habían visto en anteriores posts ya pueden ser utilizadas. Se sabe que el Mensajero Instantáneo más usado en el planeta es el MSN Messenger -ahora Windows Live Messengery en el campo de llamadas por Internet el líder es Skype. Por eso, Windows Live Messenger cuenta con una nueva función llamada Windows Live Call, que podría expandirse y competir contra el poderoso Skype-Out. Con este mejorado Messenger ya se puede hacer llamadas a teléfonos fijos desde cualquier computadora, usando como operador al Verizon. Ya se encuentran disponible nuevos teléfonos inalámbricos de fabricantes como Uniden y Philips para hacer llamadas VoIP usando cuentas de Windows Live Messenger. La función para hacer llamadas VoIP a teléfonos fijos por el momento sólo está disponible en Estados Unidos, Reino Unido, Alemania, Francia y España.
Google: ¿amigo del hacker? » Por Marco Escobar Introducción Como todos sabemos, Google se ha convertido en una herramienta muy importante no sólo para aquellos que nos dedicamos a Sistemas sino para cualquiera que necesite conseguir algún tipo de dato sobre los temas más diversos.
El hacker en la Teoría La teoría detrás de esto es muy simple. Piensa que tipos de datos quieres encontrar o en qué clase de archivos estos datos pueden ser almacenados y los buscas directamente (Por ej. buscas *.xls) o intentas buscar algún tipo de software que te sirva para la edición de video como por ejemplo, o simplemente buscar un crack. Un ejemplo podría ser un CMS. Lees información sobre este en particular como joomla, ves los archivos que usa y los buscas así de fácil. Demás esta decir que no se necesita ser hacker para utilizar esta “teoría” en las búsquedas cotidianas.
Opciones de búsqueda de Google Tipo de archivos: *.xls, *.doc, *.pdf *.ps *.ppt *.rtf Google permite buscar tipos de archivos específicos, así es entonces que en los resultados
en vez de obtener archivos html (websites), se pueden obtener archivos de Microsoft Excel por ejemplo. Las cadenas de búsqueda que se podrían utilizar para este ejemplo es la siguiente:
filetype:xls filetype:doc A simple vista uno podría decir que las búsquedas solo están limitadas a estos tipos de archivos, pero la realidad (que por supuesto Google no divulga) es que podes buscar cualquier tipo de extensión y por ej. dejar al descubierto archivos *.db, *.mdb, *.cfg, *.conf, *.pwd, etc. Inurl Otra opción de búsqueda útil es inurl, opción que permite buscar ciertas palabras que uno quiere encontrar en la url de un sitio. Esto te da la oportunidad de buscar carpetas o directorios específicos, especialmente si se usa en combinación con la opción “index of” que se explica mas adelante. Un ejemplo podría ser:
inurl:passwd Esto traería como resultado sitios que contienen la palabra “passwd” en su url. Index of La opción index of es otra muy útil. Si usás la cadena “index of” en una cadena de búsqueda encontrarás listados de directorios específicos en algún server. Un ejemplo podría ser:
“index of” putty index.of.putty Lo cuál traería un listado de las carpetas putty de cualquier sitio que las tuviera. Site Esta opción te permite realizar búsquedas en dominios o sitios específicos. Por ejemplo uno podría buscar sitios .com o sitios .cl o .gov. cl, etc, pero además podrías buscar en un solo sitio. Algunos ejemplos podrían ser:
site:cl site:.com site:gobierno.gov.cl “presidente” Intitle Esta opción te permite buscar archivos html que contengan cierta palabra o palabras en el título. Se puede realizar de esta manera:
intitle:la_palabra_que_quieras Intext Te permite buscar archivos html que contengan cierta palabra o palabras en el cuerpo. La forma de utilizarlo es:
intext:lo que quieras Link La opción Link permite ver qué sitios poseen links a sitios específicos. Como se describe en Hacking Exposed 5th Edition, esto puede bastante ser útil: “Este buscador brinda facilidades que permiten encontrar sitios que poseen links al interior del dominio de la organización atacada.
Esto puede no ser significativo en un principio pero permite explorar las implicancias. Supongamos que alguien en una organización decide poner un link al website personal de su casa o algún otro equipo de la red…” Opciones combinadas de búsqueda Es posible que ya conozcas algunas o todas las opciones de búsqueda mencionadas anteriormente, pero seguramente le vas a sacar mayor provecho cuando las combines. Por ejemplo, prueba realizar las siguientes búsquedas: inurl:nasa.gov filetype:xls “restricted”
site:mil filetype:xls “password” site:mil “index of” admin Además hay muchas mas opciones de búsqueda.
Conclusión No hay que olvidarse que Internet es una red de cientos y cientos (y podría decirse millones) de equipos interconectados, y esto supone que en teoría todos los datos podrían ser accedidos en forma remota desde cualquier parte del mundo y que aunque uno podría decir “a quien le puede interesar lo que yo tenga?” o “si me rompen el servidor lo instalo de nuevo” muchas veces el propósito de un ataque es lograr el desprestigio del Administrador. Como ayuda si quieren léanse el libro Google Hacker que esta en Internet para investigar mas a fondo sobre este articulo.
$IFERENCIATE
#APACITATE CON LOS MEJORES PROFESIONALES DE 3EGURIDAD DE LA )NFORMACIĂ&#x2DC;N .UESTROS PROFESIONALES CUENTAN CON LAS SIGUIENTES CERTIFICACIONES #)330 #%( ##30 ##.0 -#3% ).&/3%# ##.! #.! )3%#/- /)33' .30 -#0 ,0)# ENTRE OTRAS
)4 3%#52)49 02/&%33)/.!,3
Calendario de SECURITY TRAINING Curso de PreparaciĂłn a la CertificaciĂłn Internacional CISSP (Certified Information Systems Security Professional)
OpciĂłn I. DuraciĂłn: 40 Horas Modalidad TeĂłrico. Fecha: Agosto: Dias Lunes y MiĂŠrcoles. Comienzo Lunes 14. Horario: 19 a 22 Hs. Fecha: Agosto: Turno maĂąana: DĂas Martes y Jueves. Comienzo dĂa Martes 20. Horario de 09 a 13 Hs.
Curso de PreparaciĂłn a la CertificaciĂłn Internacional CISSP (Certified Information Systems Security Professional)
OpciĂłn II. DuraciĂłn: 80 Horas Modalidad TeĂłrico-Practico. Incluyen Labs. Fecha: Agosto: DĂas Martes y Jueves. Comienzo Martes 22. Horario 09 a 13 hs. Fechas Agosto: DĂas Lunes y MiĂŠrcoles. Comienzo: Lunes 21. Horario 19 a 22 horas.
Todos los Security Trainings pueden ser dictados a distancia, in company o en forma personalizada, asimismo en el interior y exterior del paĂs. Asegurando IIS 6.0
DuraciĂłn: 16 horas Fecha: Agosto: DĂas: Martes y Jueves. comienzo: Martes 22 Horario: De 18 a 22 Hs
Seguridad y Hacking Aplicaciones Web
DuraciĂłn: 16 horas Fecha: Agosto: Comienzo: Lunes 21. DĂas: Lunes/MiĂŠrcoles/Viernes. Horario: De 19 a 22 Hs.
Windows Security
DuraciĂłn: 16 horas Fecha: Agosto: DĂas: Martes y Jueves. Comienzo: Martes 15. Horario: De 19 a 22 Hs
Configuracion, Seguridad y Hacking Wireless
DuraciĂłn: 12 horas Fecha: Agosto: DĂas: Lunes/MiĂŠrcoles/Viernes. Comienzo: lunes 21. Horario: De 19 a 22 Hs.
Implementando ISO 20000
DuraciĂłn: 12 horas Fecha: Agosto: DĂas: Lunes/MiĂŠrcoles/Viernes. Comienzo Lunes 14. Horario: De 19 a 22 Hs
Cisco Pix Firewall
Curso Seguridad InformĂĄtica
C E H (Certified Ethical Hacker)
Curso Security & Hacking Linux Networks
DuraciĂłn: 15 Horas Fecha: Agosto: DĂas: Lunes/Miercoles/Viernes. Comienzo Lunes 7. Horario: de 19 a 22 Hs. Fecha Agosto: Dias Martes y Jueves. Comienzo Martes 8. Horario de 19 a 22 horas. DĂas sĂĄbados. Comienzo 12. Horario 09 a 13 horas. DuraciĂłn: 40 Horas Fecha: Agosto: Dias Jueves. Comienzo Jueves 17. Horario 19 a 22 hs DĂas sĂĄbados. Comienzo SĂĄbado 19. Horario 09 a 13hs. Fecha Agosto: DĂas Martes. Comienzo Martes 15. Horario 09 a 13 horas.
C H F I (Computer Hacking Forensic Investigator)
DuraciĂłn: 40 Horas Fecha: Agosto: DĂas Lunes. Comienzo Lunes 21. Horario: De 19 a 22 hs. Fecha Agosto: DĂas MiĂŠrcoles. Comienzo MiĂŠrcoles 16. Horario de 09 a 13 horas.
Security5
Fecha: Agosto: Lunes/Miercoles/Viernes. Comienzo: Lunes 14. Horario 19 a 22 Hs. Fecha: Martes y Jueves. Comienzo Martes 15. Horario 9 a 13 Hs.Fecha Agosto: Martes y Jueves.
Network5
Fecha: Martes y Jueves. Comienzo Martes 22. Horario 19 a 22 Hs.Fecha Agosto: Martes y Jueves.
Curso de InformĂĄtica Forense
DuraciĂłn: 12 horas Fecha: Agosto: DĂas MiĂŠrcoles y Viernes. Comienzo: MiĂŠrcoles 16. Horario: De 19 a 22 Hs. Fecha Agosto: Martes 8, Jueves 10 y Lunes 14 de 09 a 13 horas.
Curso Ethical Hacking
DuraciĂłn: 15 horas Fecha: Agosto: DĂas Lunes/MiĂŠrcoles/Viernes. Comienzo Lunes 7. Horario: 19 a 22 Hs. Fecha Agosto: DĂas Lunes /MiĂŠrcoles/Viernes. Comienzo Lunes 14. Horario 09 a 13 horas.
ConfiguraciĂłn y Seguridad en ISA Server
DuraciĂłn: 16 horas Fecha: Agosto: DĂas: Martes y Jueves. Comienzo martes 1. Horario: De 19 a 22 hs
Management de un Pentest
DuraciĂłn: 16 horas Fecha: Agosto: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 7. Horario: 19 a 22 Hs
ConfiguraciĂłn y Seguridad en Servidores Windows
DuraciĂłn: 15 Horas Fecha: Agosto: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 14. Horario: 19 a 22 Hs. DĂas sĂĄbados. Comienzo SĂĄbado 12. Horario 09 a 13hs.
DuraciĂłn: 15 horas Fecha: Agosto: Comienzo: Martes 22. DĂas Martes 22/Jueves 24 / Lunes 28/ MiĂŠrcoles 30/ Viernes 1 de Septiembre. Horario: De 19 a 22 Hs. Fecha Agosto: Martes 8, Jueves 10, Lunes 14, Miercoles 16. Horario 09 a 13 Horas. DuraciĂłn: 9 horas Fecha: Agosto: Lunes y MiĂŠrcoles. Comienzo Lunes 7. Horario: De 19 a 22 Hs.
Exploiting
DuraciĂłn: 8 horas Fecha: Agosto: Dias: Lunes y MiĂŠrcoles. Comienzo: Lunes 14. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 19. Horario 09 a 18 horas. Fecha: comienzo Lunes 21: Lunes y MiĂŠrcoles de 09 a 13 Horas.
IngenierĂa Inversa
DuraciĂłn: 9 horas Fecha: Agosto: DĂas: Martes y Jueves. Comienzo MiĂŠrcoles 15. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 26. Horario 09 a 18 horas. Fecha Agosto MaĂąana: Martes y Jueves. Horario 14 de 09 a 13 Horas.
IDS / IPS/ Honey Pots
DuraciĂłn: 12 horas Fecha: Agosto: DĂas: Lunes y MiĂŠrcoles. Comienzo: Lunes 21. Horario: De 19 a 22 Hs
SQL Security / SQL Injection
DuraciĂłn: 9 horas Fecha: Agosto: Comienzo Martes 22. DĂas: Martes/MiĂŠrcoles/Jueves. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 19. Horario 09 a 18 horas.
LPIC - 1 â&#x20AC;&#x153;Administrador de Sistemas Linuxâ&#x20AC;?
DuraciĂłn: 40 horas Fecha: Agosto: DĂas: Lunes, Martes, MiĂŠrcoles. Comienzo Lunes 14. Horario: De 9 a 13 Hs. Fecha: Dias MiĂŠrcoles. Comienzo Miercoles 16. Horario 19 a 22 horas.
LPIC - 2 â&#x20AC;&#x153;Administrador de Sistemas Linuxâ&#x20AC;?
DuraciĂłn: 40 horas Fecha: Agosto: Comienzo lunes 28. DĂas: Lunes/Martes/MiĂŠrcoles. Horario: De 9 a 13 Hs.
Âť Consultar por prĂłximos calendarios en training@securityc.com. Âť Consultar por dĂas y horarios especiales. Âť Nuestros Instructores cuentan entre otras certificaciones como, CISSP, CEH, CCSP, CCNP, MCSE, INFOSEC, CCNA, CNA, ISECOM,OISSG, NSP, MCP, LPIC, etc. Âť Consultas: training@securityc.com
En un mundo donde los ataques informáticos son cada día más sofisticados,
Contar con expertos en Seguridad de la Información es la única solución.
)4 3%#52)49 02/&%33)/.!,3
Seriedad y respaldo en Seguridad de la Información
Partners
Reseller
Hoy las empresas necesitan proteger sus activos digitales críticos debiendo estar alerta en forma constante. Asegurar una empresa requiere una actitud proactiva y una vigilancia continua. Quienes realicen dicha tarea debe ser la gente correcta con el expertise correcto. Sólo aquellos que tengan el conocimiento apropiado para poder construir las defensas no serán víctimas de las amenazas externas e internas. En Security Consultants combinamos diferentes aspectos para que las organizaciones puedan incluir nuestros recursos. Somos líderes en servicios de Consultoría de Seguridad e Inteligencia Informática, brindamos respuesta a la necesidad de resguardar los activos de información.