SECURITY&tECHNOLOGY IT PROFESSIONALS MAGAZINE Año 1 · Número 2 · Septiembre 2006
REDES PRIVADAS VIRTUALES pag. 4
INFORMÁTICA FORENSE pag. 8
La amenaza BLUETOOTH
LTSP, RECICLAJE DE RECURSOS EN LINUX pag. 14
AZUL
3
SECURITY&tECHNOLOGY
STAFF Director General Gustavo Rodolfo Sepulcri PROPIETARIOS SC IT Security Professionals S.R.L.
IT PROFESSIONALS MAGAZINE
EDITORIAL
CoordinaciĂłn editorial Juan Manuel Gracia
ÂĄCon viento a favor!
REVISIĂ“N Y CORRECCIĂ“N Natalia Cerrella
La prueba ha sido superada. Finalmente ha visto la luz la tan solicitada segunda ediciĂłn de nuestro magazine y ya puedes comenzar a disfrutar de ella; aunque antes, no querĂamos dejar de aprovechar la oportunidad para agradecer la gran cantidad de mensajes recibidos de parte de nuestros lectores, asĂ como tambiĂŠn el apoyo incondicional que la comunidad de usuarios, profesionales independientes y empresas han demostrado hasta aquĂ para con nosotros. DemĂĄs estĂĄ decirles que sin el mismo, nada de esto serĂa posible, por tal motivo no sĂłlo queremos invitarlos a continuar nuestra relaciĂłn, sino tambiĂŠn les proponemos formar parte de este proyecto colaborando con aspectos tales como el envĂo de sugerencias, material de vuestra autorĂa, investigaciones, y cualquier otra informaciĂłn que les gustarĂa ver reflejada en esta, su publicaciĂłn mensual. Al igual que en la ediciĂłn anterior, este mes encontrarĂĄn en las siguientes pĂĄginas notas con distinta orientaciĂłn, pero todas ellas sobre temas que entendemos encontrarĂĄn sumamente interesantes. En tal sentido, revisaremos a travĂŠs del artĂculo de tapa de este nĂşmero, algunas de las principales caracterĂsticas relacionadas con la seguridad en dispositivos mĂłviles, echaremos tambiĂŠn un vistazo a tecnologĂas conocidas pero poco aprovechadas tal como es el caso de las redes privadas virtuales o VPNs, introduciremos algunos conceptos relacionados con la informĂĄtica forense y desarrollaremos otros temas de interĂŠs tales como el delito informĂĄtico, el aprovechamiento de hardware por medio de la implantaciĂłn de tecnologĂas Open Source y mucha mas informaciĂłn que esperemos disfruten tanto como nosotros al momento de revisar el material seleccionado. Nuevamente gracias y nos vemos el prĂłximo nĂşmero con mucha mas informaciĂłn. ÂĄHasta octubre!
Redactores FabiĂĄn Calvete Mariano Giral Juan Manuel Garcia Edson V. Piuzzi Marcos P. Russo Ezequiel M. Sallis Diego San Esteban Gabriel Schwartz Gustavo R. Sepulcri Publicidad - suscripciones RomĂĄn DomĂnguez (K) rdominguez@st-magazine.com suscripcion@st-magazine.com
DiSEĂ‘O GRĂ FICO Ariel Glaz ILUSTRACIĂ“N y DISEĂ‘O WEB Alicia Vera Alice
Si quiere colaborar con
escribinos a: writers@st-magazine.com SECURITY & TECHNOLOGY IT Professionals Magazine
CISSP
CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL [PAG. 7] WINDOWS XP
ESCALACIĂ“N DE PRIVILEGIOS EN WINDOWS XP
VPN
Queda prohibida la reproducciĂłn no autorizada total o parcial de los textos publicados, mapas, ilustraciones y grĂĄficos incluidos en esta ediciĂłn. La DirecciĂłn de esta publicaciĂłn no se hace responsable de las opiniones en los artĂculos firmados, los mismos son responsabilidad de sus propios autores. Las notas publicadas en este medio no reemplazan la debida instrucciĂłn por parte de personas idĂłneas. La editorial no asume responsabilidad alguna por cualquier consecuencia, derivada de la fabricaciĂłn, funcionamiento y/o utilizaciĂłn de los servicios y productos que se describen, analizan o publicitan.
[PAG. 13]
RED PRIVADA VIRTUAL [PAG. 4]
LTSP
RECICLAJE DE RECURSOS EN LINUX
[PAG. 14]
BLUETOOTH
2
CONTACTO info@st-magazine.com www.st-magazine.com
[SEPTIEMBRE 06]
CONTENIDOS
LA AMENAZA AZUL [PAG. 10]
INFORME ESPECIAL
EL DELITO INFORMĂ TICO [PAG. 16] SEGURIDAD
SEGURIDAD DE LA INFORMACIĂ“N [PAG. 17] LINUX
CONDOR LINUX [PAG. 18]
CHFI
INFORMĂ TICA FORENSE [PAG. 8]
Immunity
Canvas Professional Immunity Canvas es una herramienta de penetration testing que ofrece cientos de exploits confiables, apuntado a Profesionales de la seguridad informĂĄtica y Penetration Testers.
2ESELLER FOR )MMUNITY #ANVAS
-AS )NFORMACI˜N INFO SECURITYC COM
4
Security&technology | SEPTIEMBRE 06
Red privada virtual Una alternativa económica para la comunicación empresarial Por Ing.
Fabian Calvete
Introducción Históricamente las comunicaciones entre la casa central de una empresa y sus sucursales, o bien entre ésta y sus usuarios móviles desplazándose entre distintas ciudades, se han implementado a través de enlaces dedicados o redes de conmutación de paquetes/circuitos. Diferentes teconologías materializan los enlaces de comunicaciones de un punto remoto hacia el sitio central, tal es el caso de líneas E1/T1 o redes de acceso Frame Relay, para el caso particular de sucursales, o las clásicas líneas telefónicas para el caso de usuarios que están en constante movimiento, encontrando también los conocidos servidores de acceso con sus pools de modems en el sitio central. El constante crecimiento de Internet, tanto en alcance como en infraestructura, el desarrollo de nuevos protocolos más potentes y la posibilidad de incrementar la seguridad de los enlaces, hacen de la red de redes una nueva alternativa de conectividad remota. Una VPN o Red Privada Virtual consiste básicamente en transmitir información privada sobre un enlace público, a los fines de poder cumplir con este enunciado resulta necesario adoptar determinadas medidas que contribuyan a la seguridad de la información propia, es decir, a evitar que los datos puedan ser falsificados, interceptados o modificados en su recorrido a través de este canal público. Conforme a esto, una VPN debe cumplir con objetivos básicos de seguridad, como son la autenticidad, privacidad, e integridad de la información. La autenticidad se refiere a que la información provenga de una fuente fidedigna, es decir, que el origen sea realmente quien envía la información, de esta forma se combate a los ataques de falsificación. Existen diversas maneras de lograr su implementación como por ejemplo el uso de bases de datos conteniendo listas de usuarios y contraseñas, empleando protocolos de autenticación como RADIUS o TACACS+ o por medio de técnicas de firma digital que permiten asegurar la identidad del remitente del mensaje y la integridad del mismo. La privacidad evita que la información sea conocida por terceros que no son los destinatarios de la misma, es decir, sólo los destinatarios del mensaje deben conocer los datos contenidos en él, de esta forma se combate a los ataques de interceptación. Para lograr esta finalidad se emplean Algoritmos de Encripción que pueden pertenecer a una de dos grandes familias: Simétricos y Asimétricos. En el primer caso la clave que se utiliza para encriptar un mensaje es la misma que para desencriptarlo, de aquí el nombre “Simétrico”, algunos ejemplos son: DES, 3DES, IDEA, Blowfish, RC4, RC5, AES, etc. Para el segundo caso las claves que se usan son dos: una denominada clave pública, que puede ser conocida por cualquiera, y la otra denominada
clave privada, que sólo es conocida por su propietario, en este sistema se encripta con una clave y se desencripta con la otra, de aquí el nombre “Asimétrico”, algunos ejemplos son: Diffie Hellman, RSA, Gamal, Curvas Elípticas, etc. Cabe citar que a mayor longitud de una clave más fuerte será el proceso de encripción frenta a ataques. La integridad se refiere a que la información no sea modificada en su viaje por el enlace, es decir, desde que es transmitida por el origen hasta que se recibe en el destino, de esta manera se combate a los ataques de modificación. Para cumplir con este objetivo se utilizan las denominadas Funciones de Hash, tales como MD4, MD5 o SHA1, que combinan los bits de un archivo siguiendo un determinado patrón, produciendo una salida de longitud fija denominada resumen o compendio. La característica más importante de este resumen es que si se cambia una única letra o dígito del mensaje original, la nueva salida es diferente a la primera, permitiendo verificar la integridad. Las técnicas de VPN no se implementan únicamente cuando el backbone de comunicaciones está representado por Internet, también existen otros escenarios que requiren su utilización para garantizar la ya discutida seguridad de la información, tal es el caso de redes Frame Relay por ejemplo, las cuales se consideran semipúblicas o semiprivadas debido a que, si bien no tiene las características propias de Internet, el control y la administración de los enlaces por donde circulan nuestros datos no es propio, sino de una prestataria de comunicaciones a la que le alquilamos el servicio. Una VPN constituye una alternativa más que atractiva para resolver los problemas de conectividad diarios. Al utilizar Internet como trocal de comunicaciones ocasiona costos menores que otras estrategias, los accesos banda ancha a Internet, de tanta difusión actual, contribuyen a incrementar la capacidad de los enlaces en los sitios remotos y cualquier usuario móvil puede conectarse fácilmente con su empresa simplemente disponiendo en su notebook de una aplicación y una cuenta dial-up a un Internet Service Provider (ISP). Paralelamente una VPN permite comunicar la Intranet de una empresa con sus sucursales remotas, lo que se conoce como Intranet Extendida, o las Intranets de distintas empresas, concepto conocido como Extranet. Una VPN puede implementarse tanto por hardware como por software. En el primer caso encontramos dispositivos específicos, diseñados para este fin, tal es el caso de la serie Cisco VPN 3000 o bien dispositivos diseñados con otra finalidad pero que permiten, mediante extensiones, realizar el proceso VPN, como es el caso de Routers como la serie Cisco 800, 1700, 2600, etc. y Firewalls como la serie Cisco PIX 501, 506, 515, etc. Respecto a las implementaciones por software existen funcionalidades embebidas en sistemas operativos como Microsoft Windows NT, 2000 o
Linux. Cabe destacar en este punto la diferencia de performance o rendimiento que existe entre una solución por hardware y otra por software, en favor de la primera, debido a la exigencia de recursos que demandan los procesos, específicamente el de encripción.
Protocolos Es común hablar de túneles cuando se describen las VPN, un túnel puede ser considerado como una senda o recorrido lógico que realizan los paquetes de un determinado protocolo dentro de otro, desde un punto origen a otro de destino a través de una red. Los túneles existen desde hace tiempo, un ejem-
plo característico es el envío de paquetes IPX a través de Internet donde estos paquetes, propios de redes Novell, deben “tunelizarse” en datagramas IP. También es común llamar a este proceso de tunelización como encapsulamiento, quizás un nombre más apropiado a la técnica. Estos paquetes encapsulados viajan por la red hasta que llegan al destino donde vuelven a su formato original. Los túneles VPN adicionan otras variables al proceso de encapsulamiento o túnel ya mencionado, de manera de cumplir con las medidas de seguridad enunciadas. Un cliente debe ser autenticado antes de autorizarlo a conectarse con un servidor, cada paquete se
5
que permiten la negociación y establecimiento de las SA, como también el intercambio de claves. Este esquema es necesario cuando se brinda el servicio antireplay, ya que se debe cerrar la SA actual y abrir una nueva debido a que el campo “Número de Secuencia” del protocolo AH o ESP, que evita este tipo de ataque, no debe ciclar. El protocolo para el manejo automático de claves y SA en IPSec es IKE (Internet Key Exchange), el cual es una evolución de los protocolos ISAKMP, Oakley y SKEME. encripta para que los datos sean ilegibles a cualquier extraño y también son sometidos a un cálculo para obtener un resumen o compendio de manera de asegurar su integridad. De esta manera se logra realizar un canal seguro de comunicación. Existen distintos protocolos que permiten cumplimentar con la funcionalidad de una VPN, entre los principales encontramos: PPTP, L2F y L2TP, los cuales podemos ubicar en la capa 2 del modelo OSI, también encontramos a IPSec, el protocolo de mayor utilización actual, el cual trabaja en la capa 3 del citado modelo. PPTP es el Protocolo de Túneles Punto a Punto que ha sido impulsado especialmente por Microsoft (Viene incluido en el sistema operativo Windows NT 4), deriva del PPP o Protocolo Punto a Punto, el cual permite conexiones routers a routers y host a red a través de enlaces síncronos o asíncronos, posibilita la asignación de direcciones IP en forma dinámica, es multiprotocolo encapsulando datagramas IP, IPX y NetBEUI, permite comprobar la calidad del enlace y brinda autenticación a través de PAP (Protocolo de Autenticación por Password) y CHAP (Protocolo de Autenticación por Desafío y Respuesta). PPTP encapsula los frames o marcos PPP utilizando GRE y TCP, es también multiprotocolo, permite control de flujo y un único túnel entre dos puntos extremos, utiliza la compresión MPPC (Compresión Microsoft Punto a Punto) y trabaja con MPPE (Encripción Microsoft Punto a Punto) basado en la familia de algoritmos simétricos RC. El L2F (Reenvío de Capa 2) fue desarrollado por Cisco, tiene menos overhead y es especial para redes administradas. L2TP (Protocolo de Túnel de Capa 2) es el resultado de la combinación de las capacidades de PPTP y L2F. Permite enviar tráfico IP, IPX y NetBEUI sobre cualquier red que soporte la entrega de datagramas, como IP (Internet), ATM, Frame Relay y X.25. Utiliza algoritmos RC para la encripción, autentica los extremos de un túnel antes de iniciar la sesión, puede mantener múltiples túneles entre puntos extremos y encapsula la información sobre UDP. IPSec es el protocolo más empleado a la hora de implementar una VPN. Está incorporado en la IPv6, pero se ha adaptado para su utilización con IPv4, está definido por el IETF y se encuentra desarrollado en varios documentos (RFC 2401, 2402, 2403, etc). Su función principal consiste en segurizar el tráfico IP . IPSec incluye protocolos que permiten cumplir con los objetivos de seguridad ya enunciados, como son la autenticación, integridad y privacidad, permitiendo también contar con un servicio especial denominado antireplay, el cual en términos generales evita que se reproduzca una transacción realiza-
da, tratando de detectar la posible inserción de paquetes falsos en medio de una corriente de paquetes que viajan por la red. Cabe citar que al ser IPSec un protocolo de capa 3 del modelo OSI no autentica al usuario mismo para lo cual resulta necesario utilizar otros protocolos que cumplan con esta finalidad. Básicamente al hablar de IPSec surge el concepto de Asociación de Seguridad (SA), la cual es definida como una conexión lógica unidireccional entre dos puntos extremos, la misma define el contexto de seguridad que se aplicará a la comunicación. Todo el tráfico asociado a una SA recibe el mismo procedimiento de seguridad. Una SA puede establecerse entre dos hosts, entre dos gateways de seguridad que implementan IPSec ubicados en la periferia de la red (Tales como dos routers, dos firewalls o un router con un firewall) o en algunos casos entre un host y un gateway de seguridad. Existen dos modos de trabajo en IPSec: Túnel y Transporte. Cuando se está trabajando en el modo transporte se protege el conte-
Ventajas y Limitaciones Como ventajas una VPN implica un menor costo de implementación y mantenimiento en comparación con la contratación de enlaces dedicados o accesos Frame Relay. No hay que tener pool de modems ni servidores de comunicaciones para accesos remotos. Gran disponibilidad de accesos a Internet por banda ancha, en el caso de conectar sucursales o sitios remotos, habrá que realizar relevamientos sobre los servicios de banda ancha que se ofrecen en la zona, tales como ADSL, Cablemodem o accesos Wireless. El servicio de ADSL es el más extendido de todos debido a que se basa en las líneas de pares telefónicos de las prestatarias, aunque dependerá de los equipos instalados en la Central Telefónica a la cual estamos abonados; se ofrecen velocidades de 256/512 Kbps de dowstream o bajada de la red, mientras que la velocidad de upstream o subida a la red es de 128 Kbps para ambos servicios. Otra ventaja significatica es la facilidad de mantenimiento, normalmente el servicio no tiene problemas en lo que respecta al equipamiento, pudiendo existir algún inconveniente en el enlace de banda ancha. Las VPN presentan un alto grado de escalabilidad, es decir, facilidad de crecimiento. Es posible reutilizar equipamiento existente en la organización, como routers o firewalls, los cuales pueden ser utilizados como terminador de túneles con sólo un upgrade de memoria y/o extensión del sistema operativo. Para el caso de usuarios móviles que se desplazan entre diferentes zonas, sólo necesitan de una aplicación cliente instalada en sus notebooks y de una conexión a Internet en el sitio donde se encuentren. Resulta una arquitectura apta para aplicaciones y sistemas generales que utilicen tecnología Web, tales como Servidor de Apli-
«Una VPN constituye una alternativa más que atractiva para resolver los problemas de conectividad diarios.» nido del paquete IP pero no su header, salvo en el caso de autenticación; en cambio cuando se emplea el modo túnel todo el paquete IP completo se está protegiendo dado que se agrega un header IP exterior, con la dirección lógica del otro extremo del túnel, para que pueda ser ruteado sin inconvenientes. Los protocolos de seguridad que se utilizan son dos: Authentication Header (AH) y Encapsulating Security Payload (ESP). El AH proporciona autenticación, integridad de los datos y opcionalmente antireplay. Se lo identifica con el valor 51 en el campo “Protocol” del header IP. El ESP proporciona privacidad de la información mediante el empleo de algoritmos de encripción simétricos tales como DES con claves de 56 bits, 3DES con claves de 168 bits y AES, por ejemplo. También puede brindar autenticación, integridad de los datos y antireplay. Se lo identifica con el valor 50 en el campo “Protocol” del header IP. Para cumplir con los requisitos de integridad, IPSec utiliza las funciones de Hash MD5 con salidas de 128 bist de longitud y SHA1 con salidas de 160 bits de longitud. Dichas funciones no se emplean en forma pura sino que se combinan con otro procedimiento obteniendo lo que se conoce como HMAC o Código de Autenticación de Mensajes por Funciones Hash, lo que permite brindar autenticación además de integridad de la información. El manejo de claves y datos de la SA en IPSec puede ser implementado en forma manual, lo que puede ser aplicable en ambientes de trabajo pequeños y estáticos, o automático en ambientes tales como Internet. Para lograr esto último se utilizan protocolos
caciones, que requieren que el usuario se conecte mediante un Browser. Pueden implementarse haciendo un Outsourcing, a costos no muy significativos, reemplazando la administración interna d ela VPN por una externa. Entre las limitaciones más importantes se encuentra la de un rendimiento menor del servicio en comparación con una red privada a través de enlaces dedicados o Frame Relay, esto se debe a que Internet es una red sin control, estructurada sobre un protocolo no orientado a la conexión como es IP, cabe recordar aquí que cada datagrama puede tomar un camino distinto para llegar al destino dependiendo de la topología y estado de la red. También encontramos la falta de SLA o Acuerdos de Nivel de Servicio en los accesos a Internet por banda ancha, a diferencia de una red Frame Relay por ejemplo, aquí nadie nos asegura una tasa de transmisión, retardos, tasa de errores y quizás lo más importante, la disponibilidad del servicio, es decir cuánto tiempo puede estar inactivo el enlace en un período determinado. El proceso de encripción/desencripción en los equipos finales puede introducir demoras de proceso y consumir recursos de procesador, especialmente si son implementados por software. Por último resulta imprescindible analizar el tráfico que se cursará a través de la VPN implementada por Internet, debido a que hay aplicaciones cliente/servidor que pueden ralentizarse en forma notoria si se utilizan a través de esta arquitectura, ocasionando tiempos de respuesta muy extensos en la estación remota del cliente.
Conclusiones Las VPN constituyen una alternativa atractiva a ser tenida en cuenta como red de comunicaciones entre una organización con sus sitios remotos o usuarios móviles o bien con otras organizaciones, considerando los altos costos de los enlaces dedicados o Frame Relay especialmente luego de la pérdida de paridad entre el peso y el dólar sufrida hacia fines del 2001. Si bien el rendimiento o performance, cuando se aplican sobre Internet, no está aún a la altura de una red privada y que no existe una seguridad nativa, propia de los enlaces rentados, las VPN se encuentran en constante crecimiento y desarrollo convirtiéndose en una arquitectura que dará pelea a las clásicas tendencias de conectividad del mundo empresarial.
7
CISSP: Certified Information Systems Security Professional Sin lugar a dudas, esta certificación abre muchas puertas en el mundo de la industria de la Seguridad de Información. Ya es posible ver procesos de selección de personal en los cuales se solicita exprofesamente que los postulantes la posean. Por Edson
P
V. Piuzzi
roducto de la situación generada por la inminente llegada del año 2000, me solicitaron la creacion de múltiples procedimientos manuales. Era necesario tomar todas los resguardos posibles frente a la apocaliptica visión de los sistema colapsando en masa. Quienes trabajaban en la informática de aquellos días recordarán que incluso existian rumores que hablaban de misiles disporandose solos, aviones perdiendo sus sistema de navegación y muchos otros efectos “holliwoodenses”. Aunque nada de aquello ocurrió, la gran lección que dejó el caso del año 2000 o Y2K fue la prueba concluyente del gran nivel de dependencia que la sociedad moderna tiene de sus sistemas de información. Sin embargo, hubo otros temas que también quedaron al descubierto. La indisoluble liga entre cultura organizacional y los planes de contingencia, la necesidad de definir ambientes de trabajo más reglamentados y controlados, la urgencia de que muchos de esos aspectos fueran exigidos por la autoridad, etc. Iniciaba un trabajo titánico que recogería otros aspectos ya existentes, como los virus, ataques externos o internos, etc, etc, etc. En este punto, surgió en la industria una inquietud de características “chapulinezcas”: ¿Y ahora quien podrá defendernos?, o en otras palabras: ¿Cuál es el profesional indicado para responder a todas estas necesidades? Las certificaciones profesionales son la respuesta de la industria a una necesidad no satisfecha por las instituciones académicas. En particular, aquellas que no están vinculadas a un fabricante. En esta línea una de las pionera es Certified Information Systems Security Professional (CISSP©). CISSP© es la certificación para profesionales de seguridad de información otorgada por International Information Systems Secutiry
REQUISITOS Para pertenecer a este selecto grupo el postulante debe cumplir con los siguientes requisitos: a. Aprobar el examen con un puntaje entre 700/1000. Este comprende los siguientes dominios: · Sistemas y Metodologías de Control de Acceso · Seguridad en Desarrollo de Aplicaciones y Sistemas · Planificación de: Continuidad de Negocios (BCP) Recuparación ante desastres (DRP) · Criptografia · Ley, investigación y ética · Seguridad en Operaciones · Seguridad Física · Arquitectura y Modelos de Seguridad · Practicas de Administración de Seguridad · Seguridad de Redes y Telecomunicaciones b. Más de 4 años de experiencia laboral en alguno de los dominios. c. Responder correctamente al control de auditoria si resulta sorteado aleatoriamente. d. Firmar el código de ética de (ISC) 2©.
Certification Consortium o su acrónimo (ISC) 2©. Fundado en 1989, (ISC) 2© ha desarrollado múltiples programas de certificación adicionales, pero sin lugar a dudas CISSP continúa siendo la más popular con más de 40000 profesionales certificados en el mundo. Siendo la primera certificación de seguridad de la información acreditada con el reconocimiento ANSI ISO, la certificación CISSP proporciona a los profesionales de la seguridad de la información de una objetiva medida de validez y profesionalidad reconocida a nivel internacional. La certificación demuestra un conocimiento avanzado dentro de los 10 dominios
del (ISC)² CISSP CBK. Sin lugar a dudas, esta certificación abre muchas puertas en el mundo de la industria de la Seguridad de Información. Ya es posible ver procesos de selección de personal en los cuales se solicita exprofesamente que los postulantes la posean. La certificación debe ser renovada cada tres años. Este prceso puede ser completado a través de la acreditación cierta cantidad de Continuing Professional Education (CPE) anuales o durante el periodo, esto debe ser informado a través del sitio web que (ISC) 2© mantiene en Internet (http:// www.isc2.org). Adicionalmente, es necesario pagar la cuota anual de mantenimiento de las acreditaciones (aproximadamente U$80 anuales).
Para más información sobre CISSP, la empresa Security Consultants ofrece los siguientes cursos (Ver calendario en página 19):
Curso de Preparación a la Certificación Internacional CISSP (Certified Information Systems Security Professional) Opción I - Intensivo Duración: 40 Horas Modalidad Teórico. Fecha Septiembre: · Días Lunes 25 al Viernes 29. Comienzo Lunes 25. 9 a 18 hs. Opción II Duración: 80 Horas Modalidad Teórico-Practico. Incluyen Labs. Fechas Septiembre: · Días Martes y Jueves. Comienzo: Martes 20 9 a 13 hs. (Consultar descuento especial) · Días Miércoles. Comienzo: Lunes 18 19 a 22 hs.
8
Security&technology | SEPTIEMBRE 06
Informática Forense Su importancia en las empresas El objetivo de esta nota es presentar la función de la informática forense en un ambiente de empresa, resaltando en primer lugar su importancia, función y usos. Para cumplir con este objetivo es necesario definir el concepto de evidencia informática, luego se explica el funcionamiento de algunas herramientas usadas para la investigación forense y finalmente se analizan algunos casos reales. En esta primera parte presentamos los aspectos principales del tema y las bases del esquema de investigación.
Por Gustavo R. Sepulcri Chief Security Officer | CEH Security Consultants
E
n el actual entorno legislativo y reglamentario que rige la implementación de la Seguridad Informática en las Empresas, definidos, por ejemplo, por las leyes de privacidad de datos y los impactos directos o indirectos de la Sarbanes Oxley Act, la informática forense está adquiriendo una gran importancia debido a que su aplicación permite comprobar la trazabilidad de los hechos informáticos, ya sea que no haya un registro específico o que este haya sido dañado accidental o intencionalmente. Cuando se realiza cualquier tipo de acción en un sistema (lícita o ilícita), muchas veces la información queda almacenada en forma digital. Sin embargo, existe el problema que las computadoras guardan la información de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, y por lo tanto se deben utilizar mecanismos específicos. Es de aquí que surge el estudio de la informática forense como una ciencia relativamente nueva, aunque en realidad tiene sus bases en la década de los ochenta, cuando la Seguridad no era demasiado proactiva y era muy común tener que contratar los servicios de especialistas que pudieran recuperar información de discos rígido u otro tipo de almacenamiento, no por razones legales sino para que los sistemas pudieran seguir operando. Si bien se pueden aplicar técnicas de Informática Forense a todo tipo de dispositivos de almacenamiento digital con determinadas limitaciones, las acciones más comunes se realizan sobre dispositivos de almacenamiento magnético.
Definiciones Tomando la definición del FBI, la informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. La informática forense tiene 3 objetivos principales: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia. En cuanto a los usos estos son varios: Prosecución Criminal: Evidencia incriminatoria que puede ser usada para procesar una variedad de crímenes, incluyendo hom-
icidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. Investigación de Seguros: La evidencia encontrada en computadoras, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.
La Investigación La informática forense usa gran cantidad de técnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el análisis. Se debe partir de la base que la evidencia computacional es única, cuando se la compara con otras formas de evidencia documental. A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación crea problemas concernientes a la investigación del robo de secretos comerciales, como listas de clientes, material de investigación, archivos de diseño, fórmulas y software propietario. Otro de los problemas es el asegurar la integridad de la información. Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar con respecto a los originales grabados en la unidad que se está investigando, porque esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo la modelización matemática por checksums o la comprobación criptográfica por hash. La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recolección de evidencia computacional: 1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún motivo esta evidencia. 2. Cuando es necesario que una persona
9
tenga acceso a evidencia digital original, esa persona debe ser un profesional forense. 3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión. 4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que ésta esté en su posesión. 5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios. Además definen que los principios desarrollados para la recuperación estandarizada de evidencia computarizada se deben gobernar por los siguientes atributos: 1. Consistencia con todos los sistemas legales. 2. Permitir el uso de un leguaje común. 3. Durabilidad. 4. Capacidad de cruzar límites internacionales. 5. Capacidad de ofrecer confianza en la integridad de la evidencia. 6. Aplicabilidad a toda la evidencia forense.
Tipo de Investigación El trabajo del investigador forense depende de las pruebas encontradas en el sistema de archivos de la computadora comprometida. En el supuesto de que no exista ninguna prueba la eficacia de la investigación se reduce a nada. El objetivo detrás de cualquier investigación realizada por un forense o un equipo de respuesta rápida sobre un sistema de archivos puede ser de tipo ‘legal’ o ‘casual’.
Teniendo en consideración que estos términos no tienen un significado estandarizado para describir los motivos de una investigación y cada uno de ellos se diferencia bastante del otro debemos detallar más. Investigación Legal: La mayoría de las investigaciones forenses de tipo legal tienen como objetivo asistir a los órganos oficiales a llevar acabo una investigación criminal a fin de llevar ante la justicia al culpable del delito. En investigaciones de este tipo es im-
vestigación casual no tiene como objetivo la persecución legal del individuo responsable del acto criminal. La investigación se realiza por el interés desde el punto de vista forense, por lo tanto las técnicas, herramientas y metodología utilizada puede ser usada de forma más agresiva. La realización de una investigación forense casual requiere más conocimiento y experiencia por parte del investigador, ya que en estos casos no existen requerimientos estrictos de terceros referentes a la cantidad y calidad de pruebas obtenidas. Indiferentemente del tipo de investigación los pasos iniciales deben ser básicamente los mismos en cada caso: · El sistema de archivos debe ser preservado · La información que contiene el sistema de archivos debe ser recogida ·Esa información debe ser tratada y almacenada como prueba ·Las pruebas deben ser examinadas El concepto de prueba se forma por el contenido de los archivos (datos) y la información sobre los archivos (meta-datos). Basándose en las pruebas obtenidas del sistema de ar-
«El trabajo del investigador forense depende de las pruebas encontradas en el sistema de archivos de la computadora comprometida. En el supuesto de que no exista ninguna prueba la eficacia de la investigación se reduce a nada.» prescindible seguir de forma estricta los procedimientos para el tratamiento de pruebas que van a ser presentadas en el juzgado. Por ejemplo, el error de sobreescribir cualquier prueba en el sistema de archivos por información aleatoria (pérdida de datos) es suficiente para considerar el resto de las pruebas de la misma índole como inviables por parte de un juez o fiscal. Investigaciones legales, a menudo, únicamente se limitan a la conservación de datos y esfuerzos de mantener la integridad de información en el sistema de ficheros una vez el hecho del compromiso ha sido probado. Las pruebas ,tras ser tratadas de forma correcta, se transfieren al poder de órganos oficiales para ser analizados por parte de sus recursos. El nivel de participación del forense en la investigación, una vez que las pruebas han sido transferidas, depende del deseo del denunciante y la voluntad de órganos oficiales. Investigación Casual: Cualquier tipo de in-
chivos el investigador debe intentar responder las sguientes preguntas: · Quién - Reunir la información sobre el/ los individuo/s involucrados en el compromiso · Qué - Determinar la naturaleza exacta de eventos ocurridos · Cuándo - Reconstruir la secuencia temporal de los hechos · Cómo - Descubrir que herramientas o exploits han sido utilizados para el compromiso Como un ejemplo de proceso forense examinaremos un caso de recuperación de un fichero eliminado. Cuando hablamos de borrar un archivo bajo GNU/Linux, Unix queremos decir que el contador interno de enlaces inode (i_links_ count) se decrementa a 0. El decremento es alcanzado eliminando todos los pares de inodes de la tabla de directorio referentes al nombre del archivo. Una vez el inode es
eliminado, el núcleo marcará este recurso como disponible para uso por otros archivos o procesos, nada más. El inode eliminado va a seguir conteniendo la información sobre el archivo referenciado y los bloques de datos a que el inode hace referencia seguirán teniendo el contenido del archivo. Este estado se mantendrá hasta que el espacio se reasigne y se reuse sobreescribiendo los datos residuales. Por lo tanto la recuperación de archivos eliminados es esencial para cualquier analista forense, dicho en otras palabras la recuperación de archivos se reduce a la búsqueda de inodes con datos pero con el contador de enlaces a 0 (es decir no vírgenes). El resultado es el listado de inodes borrados. Los punteros indicarán el offset de bloques que contienen los datos del archivo, lo que permitirá posiblemente recuperar el/los archivo/s eliminados. Aunque los bloques de datos ya estén ocupados por otra información (imposible recuperar el/los archivo/s) el analista puede obtener mucha información sobre lo que ha ocurrido en el sistema de archivos examinando los metadatos presentes en el directorio de entradas y inodes. Los metadatos no son asequibles a través de la interfaz de llamadas de sistema del núcleo, por lo tanto no son alterables por las herramientas estándares del sistema operativo (desde el punto de vista forense). La industria forense digital hasta ahora tenía pocos problemas para analizar de forma efectiva sistemas de archivos de servidores comprometidos, pero este hecho está cambiando como consecuencia de las Técnicas Antiforenses. Para más información sobre Informática Forense, la empresa Security Consultants ofrece los siguientes cursos (Ver calendario en página 19): C E H (Certified Ethical Hacker) Duración: 40 Horas Fecha: Días Jueves, de 19 a 22 hs. Comienzo Jueves 14. Días sábados, de 9 a 13 hs. Comienzo Sábado 16. Días Martes, de 19 a 22 hs. Comienzo Martes 19 C H F I (Computer Hacking Forensic Investigator) Duración: 40 Horas Fecha: Días Lunes, de 19 a 22 hs. Comienzo Lunes 18. Curso de Informática Forense Duración: 12 horas Fecha: Días Miércoles y Viernes, de 19 a 22 hs. Comienzo: Miércoles 20. Días Lunes y Miercoles, de 9 a 13 hs. Comienzo: Lunes 18
10 Security&technology | SEPTIEMBRE 06
BLUETOOTH
AZUL La amenaza
Muchas corporaciones, dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos asociados a los que se expone la información contenida en ellos, es por esto que hay que crear la conciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados.
Por Ezequiel
E
M. Sallis
l Estándar Bluetooth, nacido en 1994 y formalizado en 1998, es una tecnología inalámbrica de bajo costo, que opera en la banda no licenciada de 2.4Ghz de frecuencia (misma banda que utiliza la tecnología 802.11). Básicamente posee cuatro canales, 3 canales sincrónicos de voz (64 Kbps por canal) y 1 canal de datos asincrónico. La velocidad de transmisión de los canales asincrónicos es de 723,2 Kbps mientras que la del canal asincrónico es de 433,9 Kbps. Uno de los hechos que hacen que esta tecnología sea de bajo costo, es la potencia necesaria para funcionar, tan sólo 0,1 Watts que sin duda alguna reduce considerablemente el consumo de los equipos y que sin duda alguna permitió incorporarla a los teléfonos celulares y las PDA sin que afecte en exceso el consumo de sus baterías. El Bluetooth permite la comunicación inalámbrica, entre diferentes dispositivos pero que posean la misma tecnología. Sin embargo, en la frecuencia que opera (en la banda no licenciada), debió enfrentarse al temor elemental de cualquier comunicación inalámbrica, la interferencia, y a fin de superarla se implementaron las siguientes características: · Frequency Hoping: Patrón de saltos predefinido · Saltos de 1Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y 2.480 GHz · Saltos entre frecuencias más rápidos que
en otras tecnologías inalámbricas (1600 Saltos por segundo) El protocolo BT esta basado en el siguiente Stack:
además es la encargada de proveer los servicios a los mismos.
Radio Layer
Es el protocolo de transporte, envía la señal montada sobre L2CAP.
Es la capa mas baja, define las características de la transmisión, cada dispositivo esta clasificado en tres clases diferentes: · Clase 1 (hasta 10 centimetros) · Clase 2 (hasta 10 metros) · Clase 3 (hasta 100 metros)
Baseband Layer Es la capa física, provee corrección de errores y características de seguridad, a través de la encripción de datos, también administra los saltos de frecuencia y los datos contenidos en el header del paquete.
Link Manager Protocol (LMP) Es el contenedor de aproximadamente 20 PDU Protocol Data Units, estas unidades son enviadas desde un dispositivo al otro, algunas de las mas utilizadas son: · Power Control · Autenticacion · Calidad de Sevicio (QOS)
Host Controller Interface Envía comandos a las capas dos capas inferiores, permitiendo una vía para la utilización, de las bondades de Bluetooth.
The Logical Link Control and Adaptation Protocol (L2CAP) Controla el link entre dos dispositivos, y
Cable Replacement Protocol (RFCOMM)
Service Discovery Protocol (SDP) Busca otros dispositivos Bluetooth disponibles y tiene la provee la capacidad de establecer una conexión con los mismos, se comunica directamente con la capa de L2CAP.
Redes Cuando se conectan más de un disposi-
tivo BT compartiendo un mismo canal, de comunicación forman una red denominada Piconet. Dichas redes están compuestas por un dispositivo Master quien impone la frecuencia de saltos para la Piconet , y todos los demás dispositivos son los denominados Slaves (esclavos). Las Piconet solo pueden aceptar hasta 7 dispositivos Slaves conectados Hasta 7 dispositivos esclavos activos son admitidos en una Piconet pero sin embargo, son soportados hasta 200 dispositivos pasivos. Los dispositivos esclavos pueden a su vez estar interconectados a diferentes Piconet, formando lo que se denomina una Scatter-
NOTA DE TAPA
net, pero esta caracterĂstica no se aplica al dispositivo Master ya que el mismo solo puede estar en una Piconet
Seguridad Los dispositivos con Bluetooth tienen bĂĄsicamente dos estados o modos posibles: ¡ Modo Descubrimiento ¡ Modo No Descubrimiento Cabe mencionar que si algĂşn dispositivo se encuentra en modo No Descubrimiento, igualmente puede ser mapeado siempre y cuando el atacante conozca la Mac Address (BD_ADDR) BĂĄsicamente los modelos de Seguridad de los dispositivos Bluetooth se clasifican en tres modos primarios: Modo 1: Sin seguridad (Modo Default) . Esencialmente, los mecanismos de autenticaciĂłn y cifrado estĂĄn deshabilidatos Modo 2: AplicaciĂłn/ Nivel Servicio Ocurre en la capa L2CAP, nivel de servicios. Primero se establece un canal entre el nivel LM y el de L2CAP y reciĂŠn entonces se inicializan los parĂĄmetros de seguridad. Como caracterĂstica, el acceso a servicios y dispositivos es controlado por un Gestor de Seguridad por lo cual variando las polĂticas de seguridad y los niveles de confianza se pueden gestionar los accesos de aplicaciones con diferentes requerimientos de seguridad que operen en paralelo. Otra caracterĂstica importante de este modo es que no hay ninguna codificaciĂłn adicional de PIN o claves. Modo 3: AutenticaciĂłn vĂa PIN/ Seguridad a nivel MAC/ EncripciĂłn Ocurre a nivel de Link y todas las ru-
tinas se corren internamente en el chip BlueTooth por lo que nada se transmite en texto plano. A diferencia del Modo 2, los procedimientos de seguridad se inician antes de establecer algĂşn canal y el cifrado se basa en la autenticaciĂłn PIN y seguridad MAC. BĂĄsicamente, comparte una clave de
valida, de manera tal que cualquier dispositivo puede o podrĂa hablar con cualquier otro. Un dispositivo Bluetooth se autentifica con otro si por requiere utilizar un determinado servicio (por ejemplo para el servicio de marcaciĂłn por modem). Como ya mencionamos, la forma de autentific-
11
en un dispositivo de almacenamiento externo. Dicha clave serĂĄ utilizada la siguiente vez que se comuniquen ambos dispositivos sin la necesidad de la intervenciĂłn de los usuarios para que coloquen nuevamente sus contraseĂąas. Si alguno de los dos dispositivos pierde la clave, se debe a realizar todo el proceso nuevamente. Todo este proceso es conocido como emparejamiento o Paring.
InformaciĂłn Comprometida y Lugares de Uso Riesgoso Es muy comĂşn encontrarse en los archivos almacenados en las PDA y en los Celulares, los usuarios y las contraseĂąas de las PC y hasta de los servidores que para no dejarlos anotados en un papel lo anotan en sus dispositivos mĂłviles. Los lugares de mayor riesgo o donde es fĂĄcilmente posible obtener informaciĂłn como la mencionada anteriormente es en lugares pĂşblicos como por ejemplo:
enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un procedimiento de “paring� cuando los dos dispositivos se comunican por primera vez.
Paring Para comprender el proceso de Paring o Emparejamiento, debemos aclarar que por default, la comunicaciĂłn Bluetooth no se
arse es mediante cĂłdigos PIN (cadena ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo cliente como asĂ tambiĂŠn el proveedor del servicio, debe introducir el cĂłdigo PIN, obviamente, en ambos dispositivos el cĂłdigo ingresado debe ser exactamente el mismo. Al finalizar este proceso correctamente, ambos dispositivos generan una clave de enlace la cual se puede almacenar en el propio dispositivo o
¡ ¡ ¡ ¡ ¡ ¡ ¡
En En En En En En En
el cine una plaza con mucha gente una biblioteca un centro comercial o en un bar un campo de fĂştbol alguna tienda de telefonĂa el tren o autobĂşs
Desde principios de 2003, comenzaron a hacerse publicas, algunas debilidades y vulnerabilidades que afectaban directamente a esta tecnologĂa. La primera de ellas, fue descubierta por la gente de Atstake, y fue denominada War Nibling, y permite descubrir en a todos los
3%#52)49 %4()#!,(!#+).' #/.&%2%.#% %8()")4)/.
./6)%-"2% (/4%, 3(%2!4/. ,)"%24!$/2 777 3%#52)49# #/- %3%(
12 Security&technology | SEPTIEMBRE 06
BlueSmack Es un ataque de DenegaciĂłn de servicio que aprovecha las debilidades en la implementaciĂłn de Bluetooth, mas puntualmente en L2CAP. Permite mal formar un requerimiento causando que el dispositivo se cuelgue o se reinicie sin necesidad de establecer un conexiĂłn previa. Es similar al conocido ping de la muerte, l2ping es una funcionalidad que esta presente en las librerĂas Bluez, de Linux, y permiten a una atacante a especificar el tamaĂąo del paquete a enviar
BlueBump
dispositivos que esten en el alcance del atacante esten estos en modo descubrimiento o no. DespuĂŠs y de la mano de Adam Laurie y la gente del grupo Trifinite, fueron descubiertas diversas tĂŠcnicas.
BluePrinting Es una tĂŠcnica de Fingerprinting pero de dispositivos Bluetooth, que permite detectar bĂĄsicamente ¡ Fabricante del dispositivo ¡ Modelo del dispositivo Se basa en la direcciĂłn Mac Address del dispositivo, esta compuesta por 6 bytes, los primeros 3 indican el fabricante y los restantes el modelo. Las herramientas para estos ataques buscan dispositivos que se encuentren en Modo Descubrimiento, toma las direcciones Mac, y la compara contra la base de firmas que posee determinando asĂ el Fabricante del dispositivo y su modelo (ver tabla ejemplo en el Anexo 1 “BluePrint Device Hashesâ€?). Para el caso de los dispositivos que no se
en varios telĂŠfonos celulares con interfaz Bluetooth Permite enviar comandos AT al celular, a travĂŠs de un canal encubierto de la tecnologĂa Bluetooth, permitiendo al atacante: ¡ Extraer del celular la agenda telefĂłnica y calendario entre otros ¡ Modificar o Borrar entradas en el calendario, o en los contactos telefĂłnicos ¡ Enviar un mensaje SMS desde el celular comprometido ¡ Provocar que el celular comprometido, realice llamadas telefĂłnicas a los nĂşmeros que el atacante desee
BlueSnarfing Este es el ataque que se aprovecha del bluebug, y bĂĄsicamente permite, extraer informaciĂłn de un celular, en vez de colocarla, varios equipos son vulnerables a este ataque (Nokia 6310,6310i y varios otros). En agosto de 2004, lograron llevar mas allĂĄ los limites de alcance de un dispositivo clase uno, logrando extraer y modificar la agenda telefĂłnica y el calendario de un telĂŠfono celular a una distancia de 1,78
ÂŤLa creatividad, es una de las herramientas de ataque, contra la que muy pocos desarrollan contramedidasÂť encuentren en Modo Descubrimiento, existen herramientas que se basan en ataques de Brute Force.
BlueBug Es una vulnerabilidad que fue encontrada
Km. Utilizando una Laptop bajo Linux (Con todas las librerĂas de Bluetooth), con un adaptador USB Bluetooth modificado (Clase 1) y una antena direccional cuyo objetivo era un Celular Nokia 6310 Dispositivo (Clase 2)
Su fin es robar la link-key del telĂŠfono de la victima, para establecer posteriores conexiones, sin que esta lo note y aparentando ser un dispositivo confiable. Este tipo de ataque incorpora tĂŠcnicas de IngenierĂa social pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras la conexiĂłn esta establecida.
dispositivos, para luego poder monitorear toda la conversaciĂłn. El proceso de Cracking de PIN demora 0,06 MilĂŠsimas de segundo en un Pentiun IV 3Ghz (PIN 4 DĂgitos)
ConclusiĂłn Las nuevas tecnologĂas, traen asociadas cientos de riesgos y amenazas para las que muchas veces las empresas, no esta preparadas, y lo que es peor, a veces ni siquiera estan preparadas. Muchas corporaciones, dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos asociados a los que se expone la informaciĂłn contenida en ellos, es por esto que hay que crear la conciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados.
 Referencias y
lectura complementaria
• www.bluetooth.org
BlueSpam Es un ataque basado en la bĂşsqueda de dispositivos en Modo Descubrimiento, a los cuales luego les enviarĂĄ mensajes arbitrarios creados por el atacante. Este tipo de ataques no requiere la interacciĂłn por parte de la victima para recibir el spam.
• www.trifinite.org
BlueJacking Es el ataque quizĂĄs mĂĄs inofensivo pero desde el cual se han sentado muchas bases para nuevos ataques. Consiste en conectarse a un dispositivo Bluetooth y colocarle imĂĄgenes, mensajes o contactos al dueĂąo del dispositivo. TambiĂŠn es utilizado para realizar ingenierĂa social y utilizarla en complemento con otro tipo de ataques que requieran que los equipos estĂŠn aparejados.
Cracking BT PIN Tal cual sucede, en 802.11, la implementaciĂłn de los algoritmos de encripciĂłn y seguridad, poseen importantes debilidades. En el caso de Bluetooth, este contiene varios elementos, como el management de llaves de encripciĂłn y autenticaciĂłn basada en un PIN los cuales son utilizados en el proceso de Paring y la utilizaciĂłn de estos reside en la decisiĂłn del usuario. El algoritmo que brinda seguridad a estas tecnologĂas es SAFER+, este es un algoritmo simĂŠtrico de encripciĂłn por bloque, que permite la utilizaciĂłn de llaves de 128, 192 y 256, para el caso el algoritmo utilizado es Safer+ de 128bits. Entonces, un atacante podrĂa, interceptar el PIN durante el proceso de paring de dos
.UEVAS SUCURSALES 3TA 4ERESITA \ 0INAMAR
2OSARIO 3ANTA &Ă?
COSTA SECURITYC COM
ROSARIO SECURITYC COM
#HACO
,A 0LATA "UENOS !IRES
NORTE SECURITYC COM
LAPLATA SECURITYC COM
13
WINDOWS
Escalación de Privilegios en Windows XP Por Juan
Manuel Garcia
Vulnerabilidad La vulnerabilidad se encuentra en el comando AT. Cuando a través de AT se ejecuta cmd. exe, esa consola tendrá permisos de sistema y todos las aplicaciones que se ejecuten desde ésta también heredarán esos permisos. El comando AT viene heredado de Windows NT 4 y sirve para controlar el Programador de Tareas.
¿CÓMO VAMOS A EXPLoTAR ESTA VULNERABILIDAD? Usando la consola del Windows XP vamos a escalar privilegios para obtener una Shell con privilegios de System User . Una vez obtenida esa Shell, vamos a ejecutar explorer.exe (el escritorio de Windows) y ahora todos los procesos que ejecutemos van a tener privilegios de usuario a nivel de sistema. El System User, a diferencia de los demás usuarios del sistema (incluyendo al Administrador) tiene control total del Kernel y de todo el Sistema Operativo. Es similar al usuario root de GNU/Linux.
¿Para qué sirve el comando AT? Como para la mayoría de los usuarios de Windows AT es un comando desconocido, voy a explicar sencillamente como funciona. AT nos permite programar tareas para que sean ejecutadas en determinada fecha y hora; y con la periodicidad que necesitemos.
Ejemplo de uso del comando AT Programamos AT para que cuando el horario del sistema indique 10:30am se ejecute cmd. exe: AT 10:30 /interactive “cmd.exe”
Cómo escalar privilegios paso a paso: 1. Ejecutemos una consola Inicio > Ejecutar > tipear cmd 2. Suponiendo que la hora del sistema indique 10:42, ingresar el siguiente comando: AT 10:43 /interactive “cmd.exe” Cuando el reloj del sistema indique 10:43 (el horario que seteamos previamente) va a aparecer una nueva consola. 3. Presionamos Ctrl+Alt+Del y matamos el proceso explorer.exe 4. Una vez que matamos el explorer.exe, lo vamos a volver a ejecutar desde la consola que obtuvimos tipeando “explorer.exe”
¿Para qué nos sirve esto? Teniendo una Shell y un Escritorio como System User tenemos control total del Sistema. Con estos permisos por ejemplo podemos cambiar la clave al administrador, crear nuevos usuarios, etc.
El menú Inicio nos indica que estamos logueados como el usuario System y lo terminamos de confirmar con el Administrador de Tareas.
14 Security&technology | SEPTIEMBRE 06
LTSP: Reciclaje de recursos en Linux En este artículo vamos a ver como ejecutar Linux de manera fluída en equipos antiguos, podremos darle utilidad a ese viejo 486 que teníamos guardado y que pensábamos tirar. Por Gabriel
Schwartz
¿Qué es LTSP? Bien, LTSP es el acrónimo de Linux Terminal Server Proyect, o en español: Proyecto de Servidor de Terminales Linux. Es un conjunto de aplicaciones que nos va a permitir ejecutar Linux en ordenadores antiguos, incapaces de ejecutar, hasta ahora, el último entorno gráfico o la última versión de nuestra suite de Ofimática favorita, y lo mejor de todo, de una manera fluída. Puede llegar a ser muy útil en sitios donde hay un bajo presupuesto y se quiere montar una sala de ordenadores para que estén conectados en red, por ejemplo en escuelas o en cibercafés que quieren empezar desde una pequeña inversión económica. Los usuarios no notarán que están trabajando en un equipo obsoleto.
¿Cómo funciona? El funcionamiento del sistema consiste en tener un ordenador potente que distribuirá por medio de la red el núcleo de Linux y, posteriormente, las aplicaciones a los terminales cliente. Necesitamos que el ordenador potente, que será el servidor, tenga una cantidad de recursos considerables de CPU, Memoria RAM y Disco Duro, ya que todo lo que ejecuten los clientes lo harán realmente en el servidor. Es gracias a esto por lo que podemos utilizar ordenadores antiguos de bajos recursos, incluso prescindiendo del Disco Duro y de la unidad de CD-ROM. Una vez tengamos el servidor LTSP puesto en marcha, los terminales cliente al arrancar lo buscarán en la red y ejecutarán el núcleo Linux que el servidor LTSP les proporcionará. Posteriormente aparecerá la pantalla de Login del sistema y una vez autentificados ya podremos utilizar el Sistema Operativo como si se estuviese ejecutando en el propio ordenador, con todo
el software disponible que esté instalado en el Servidor. Esto además es una gran ventaja para los administradores, ya que únicamente tendrán que preocuparse de mantener el servidor, y no cada uno de los terminales.
¿Qué necesitamos para correr LTSP? Hardware necesario La mayoría del hardware necesario ya lo hemos mencionado en el punto anterior, pero lo vamos a nombrar uno por uno. · Un ordenador potente (Servidor): Este equipo deberá contar con altos recursos, una CPU bastante potente, mucha Memoria RAM (se recomienda un mínimo de 1024 MB) y un buen Disco Duro. · Ordenadores antiguos o de bajos recursos (Terminales cliente): Estos ordenadores serán los terminales cliente que utilizaremos para conectarnos al servidor LTSP y trabajar. Podemos prescindir del Disco Duro y del CD-ROM, pero de lo que no podemos prescindir es de la tarjeta de red y de la disquetera. Esto es muy importante ya que si los terminales no tienen tarjeta de red no podremos conectarnos al servidor LTSP, por lo tanto será imposible ejecutar el Sistema Operativo, y sin la disquetera no podremos cargar la tarjeta de red para que busque el servidor LTSP en la red. · Switch Ethernet: En él se conectarán todos los equipos de la red, terminales cliente y servidor incluídos. También podemos utilizar un Hub, pero esto empeorará el rendimiento de la red por lo que es recomendable utilizar un Switch. · Cables de red: Necesitaremos cables de red para poder conectar los equipos al switch. Software necesario En el servidor, además del propio LTSP, hace
Figura 1 falta instalar las dependencias y servicios que se necesitan. Aquí están los servicios necesarios: · DHCP: El protocolo que hará que los clientes obtengan la IP automáticamente através de la red. · TFTP: Protocolo de Transferencia de Ficheros Trivial. Es una versión muy básica del protocolo FTP. LTSP lo utiliza para transferir el Kernel a los terminales cliente. · NFS: Sistema de Ficheros de Red. Este protocolo nos permitirá acceder a los discos duros através de la red. LTSP lo utiliza para montar un sistema base en los equipos cliente. · XFree: Provee la interfaz gráfica, sumado a un entorno de escritorio que nos proveerá un sistema de ventanas. LTSP puede correr en modo consola, pero como más se le obtiene rendimiento es con la interfaz gráfica. · XDMCP: Este protocolo permite a los usuarios establecer una conexión gráfica remota, necesario para que los terminales cliente puedan obtener la apreciada interfaz gráfica. Para no tener dificultades a la hora de descargarnos el software, estos son los nombres de los paquetes a instalar: dhcp3-server, dhcp3-common, dhcp3-dev, tftpd-hpa, nfskernel-server, xinetd y libwww-perl. No vamos a explicar como instalar los paquetes ya que la mayoría son instalaciones genéricas, y ocuparía mucho espacio en el artículo, pero no tienen ninguna dificultad. Si tenemos un sistema basado en binarios podemos instalarlos através del gestor que utilice la distribución, por ejemplo en Debian o Ubuntu con apt-get install paquetes los instalaríamos todos. Además de este software, también hace falta instalar, como mínimo, un entorno de escritorio (GNOME, KDE, etc.) y un gestor de ventanas (GDM, KDM, etc.). En nuestro caso utilizaremos GNOME y GDM, por ser el que viene por defecto en Ubuntu, que será la distro utilizada para el servidor LTSP.
Nuestro escenario
Figura 2
El escenario que vamos a utilizar como ejemplo en el artículo va a ser: · Un ordenador potente corriendo Ubuntu Drapper, que actuará de Servidor LTSP. · Cuatro ordenadores antiguos que harán de Terminales Cliente de LTSP. · Un switch que interconectará todos los ordenadores, incluído el servidor. En la Figura 1 lo vemos de forma gráfica.
Instalación de LTSP Vamos a realizar la instalación de la última versión de LTSP, a día de hoy la 4.2. No estamos acostumbrados a hacer instalaciones como la de LTSP, ya que utiliza un paquete que instalará otros paquetes, pero no hay que preocuparse ya que es muy sencilla y si seguimos todos los pasos aquí descritos no tendremos ningún problema. Hay dos tipos de instalación de LTSP: Desde Internet o desde CD-ROM. Nosotros vamos a hacerlo desde Internet, así practicamos la instalación de paquetes. Tenemos que descargar la última versión estable del paquete ltsp-utils de su página web (a día de hoy la 0.25.0) e instalarlo. Para Debian, Ubuntu, Fedora y RedHat tenemos el paquete binario de ltsp-utils, pero nosotros lo vamos a instalar através del código fuente (paquete TGZ), como los hombres. Por si hay dudas, LTSP se tiene que instalar en el servidor, es decir en el ordenador potente, por lo que todos los pasos que veremos en este punto lo haremos en él. Una vez descargado el paquete lo descomprimimos, ejecutamos el script install.sh como root y cuando finalice nos dirá que pulsemos Enter. Estos son los comandos a utilizar: $ tar xvfz ltsp-utils-0.25-0.tar.gz $ cd ltsp-utils-0.25-0 $ su root # sh install.sh Bien, ahora tenemos que ejecutar el comando ltspadmin como root, que va a ser el instalador y configurador de LTSP. Cuando lo ejecutemos nos aparecerá un menú con 3 opciones: Instalar/Actualizar LTSP, Configurar el instalador y Configurar LTSP. Seleccionamos Instalar/Actualizar LTSP. Como es la primera vez que instalamos LTSP, nos llevará al configurador del instalador y nos hará algunas preguntas en inglés, que son: · Where to retrieve packages from?: Aquí indicamos la ruta de donde queremos descargar los paquetes restantes de LTSP. Normalmente valdrá la que viene por defecto, así que pulsamos Enter. · In which directory would you like to place the LTSP client tree?: Indicamos la ruta donde queremos instalar LTSP. En este caso también nos sirve la que viene por defecto, que será /opt/ltsp. · If you want to use an HTTP Proxy, enter it here: Si utilizamos un servidor
15
«LTSP Puede llegar a ser muy útil en sitios donde hay un bajo presupuesto y se quiere montar una sala de ordenadores para que estén conectados en red.» proxy HTTP para navegar por Internet lo especificamos como dice el ejemplo, si no utilizamos ninguno, que es el caso más común, escribimos none. · If you want to use an FTP Proxy, enter it here: Lo mismo que el anterior, si utilizamos un proxy FTP lo especificamos, si no escribimos none. · Correct?: Si hemos puesto todos los datos bien, ponemos y para guardar los cambios y finalizar la configuración del instalador. Ahora aparecerá la lista de paquetes a instalar. Como los tenemos que instalar todos, pulsamos la tecla A (Todos) y la tecla Q para continuar. Nos preguntará si los queremos
instalar ahora, respondemos con la tecla Y (Sí) y empezará el proceso de instalación. Es necesario estar conectado a Internet, ya que tiene que descargarse los paquetes de la página web que le indicamos en la primera pregunta de la configuración del instalador. Cuando haya finalizado la instalación de todos los paquetes de LTSP, le damos a la tecla Enter para volver al menú inicial de ltspadmin. Ahora es el turno de la tercera opción: Configurar LTSP.
Configuración de LTSP La configuración de LTSP es quizás la parte más difícil del artículo, no obstante si prestamos atención y seguimos todos los pasos al pie de la letra no tendremos problemas. Estando en el menú inicial de ltspadmin nos vamos a la opción Configurar LTSP. Esta opción va a ejecutar el programa ltspcfg, que es el configurador de LTSP. El programa hará un chequeo para comprobar que tenemos todo correctamente instalado, cuando finalice pulsamos Enter. Ahora nos aparecerá un menú con 3 opciones: (S) Ver el estado de todos los servicios, (C) Configurar los servicios manualmente y (Q) Salir. Como es la primera vez que instalamos LTSP y estamos configurandolo, pulsamos la tecla C, aparecerá otro menú numerado con todos los servicios listados. Aquí vemos cada una de las opciones y como lo tenemos que configurar para nuestro escenario: 1. Runlevel: Establacemos el runlevel 5, que es el modo gráfico, utilizado en nuestro escenario. 2. Interface Selection: Si tenemos más de una tarjeta de red deberemos especificar cual vamos a utilizar para que se conecten los clientes.
3. Configuración DHCP: DHCP se encarga de asignar las direcciones IP a los clientes. Cuando se enciendan nuestros terminales Linux buscarán el servidor DHCP en la red y éste le asignará una dirección IP y le indicará la ruta donde se encuentra el Kernel para que los terminales puedan descargarlo. Al ejecutar esta opción nos preguntará si queremos habilitar el demonio DHCPD, le respondemos que si pulsando la tecla Y, luego nos preguntará si queremos crear el fichero de configuración dhcpcd.conf, volvemos a pulsar la tecla Y, nos creará dicho fichero en el directorio /etc/dhcp3 con el nombre dhcpcd.conf.sample. Más adelante vamos a configurar este fichero. 4. Configuración TFTP: Como ya dijimos, este protocolo se encarga de transferir el Kernel a los terminales Linux. Aquí nos preguntará si queremos habilitarlo, tenemos que responder que si (Y), pero antes hemos de configurar el fichero /etc/xinetd.d tal y como se explica en el punto “ConFigura 3 figuración manual de los servicios”, ya que si no no funcionará. 5. Configuración Portmapper: Nos dirá si está iniciado o no. Aunque la mayoría de distros lo inician por defecto, si nos dice que no está iniciado los iniciamos mediante estos dos comandos: $ /etc/init.d/nfs-kernel-server start $ /etc/init.d/portmap start Y listo, pasamos al siguiente paso. 6. Configuración NFS: A todas las preguntas respondemos que sí (Y). 7. Configuración XDMCP: Como en nuestro escenario vamos a utilizar entorno gráfico, a la pregunta de si queremos habilitarlo respondemos que sí (Y) y a la segunda pregunta de si queremos deshabilitar el login gráfico en el servidor respondemos que no (N). Si quisiésemos utilizar el modo consola responderíamos que sí a esta úlima pregunta. Si nos pregunta que gestor de ventanas vamos a utilizar, le decimos que gdm, que como ya dijimos es el que trae Ubuntu por defecto. 8. Crear entradas en /etc/hosts: Para generar el fichero /etc/hosts, responderemos que sí (Y). 9. Crear entradas en /etc/hosts.allow: Lo mismo que el anterior, también respondemos que sí (Y). 10. Crear entradas en /etc/exports: Idem que los anteriores, respondemos que sí (Y). 11. Crear fichero lts.conf: Este fichero es el de configuración hardware de los clientes, también respondemos que sí (Y). Una vez hayamos completado todos los pasos, reiniciamos la máquina, para comprobar que todos los servicios están instalados y habilitados. Una vez que la máquina esté reiniciada y nuestro linux corriendo, abrimos una
consola y ejecutamos de nuevo el programa ltspcfg. Pulsamos la tecla S para ver el estado de todos los servicios y si todo ha salido bien veremos más o menos lo mismo que aparece en la Figura 3. Aun no hemos terminado la configuración, si nos fijamos el servicio xdmcp no está ni habilitado ni corriendo, esto es porque tenemos que configurar el fichero /etc/dhcp3/dhcpcd.conf, todo esto lo haremos en el siguiente apartado.
Preparación de los terminales cliente En este apartado vamos a preparar los disquetes necesarios para los terminales cliente. La preparación de los disquetes la podemos hacer desde el mismo servidor LTSP. Lo primero que tenemos que hacer es obtener toda la información posible sobre las tarjetas de red, ya que hay que averiguar que chip lleva y grabar la imagen correcta. En la página que aparece al final del artículo de romo-matic tenemos una tabla con las marcas/ modelos y su correspondiente chipset de las tarjetas de red soportadas. En nuestro caso todas las tarjetas de red tienen el chipset Realtek 8139, si buscamos en la página que aparece la tabla vemos que pertenece a la familia de drivers “rtl8139 0x10ec,0x8139”, por lo que nos vamos a la página principal de rom-o-matic y en la primera lista desplegable, donde dice Choose NIC/ROM Type seleccionamos rtl8139:rtl8139 – [0x10ec,0x8139]. En la segunda lista desplegable, donde dice Choose ROM output format seleccionamos Floopy bootable ROM Image (.zdsk). Por último le damos al botón Get ROM y nos la descargamos al disco duro.
Ahora tenemos que grabar la imagen descargada en un disquete. Para ello, insertamos el disquete y desde una consola como root ejecutamos el siguiente comando: dd if=nombre_del_fichero.zdsk of=/dev/fd0 Y creamos tantos disquetes como terminales cliente tengamos. La puesta en marcha de los terminales cliente es muy simple, metemos los disquetes en las disqueteras y encendemos los ordenadores. Si tenemos la BIOS configurada para que inicie desde el disquete, cargará la ROM y mostrará la MAC de la tarjeta de red en la pantalla. Luego continuará buscando el servidor DHCP en la red para obtener la dirección IP. Si todo sale bien, se cargará el núcleo através de la red y obtendremos finalmente la esperada pantalla de login del sistema. Cuando introduzcamos un login y password correctos, ya podemos empezar a trabajar con el Linux del servidor (en nuestro caso Ubuntu Drapper) como si estuviera instalado en la propia máquina de los terminales cliente.
Distros preparadas para trabajar con LTSP A pesar de que como hemos visto en el artículo poner en marcha un servidor LTSP no es tan difícil, existen distros de Linux que facilitan aun más la tarea, ejecutando un servidor LTSP funcional nada más instalarse Linux. Dependiendo de nuestras necesidades nos convendrá utilizar una distro ya preparada o preparar nosotros mismos un servidor LTSP.
16 Security&technology | SEPTIEMBRE 06
El delito informático Por Mariano Giral Legal & Forensic Security Consultants
E
l delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha cre-
no encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de transacciones. La responsabilidad del auditor informático no abarca el dar solución al impacto de los delitos o en implementar cambios; sino más bien su responsabilidad recae en la verificación de controles, evaluación de riesgos, así como en el establecimiento de recomendaciones que
«Debido a la naturaleza virtual de los delitos informáticos, puede volverse confusa la tipificación de éstos ya que a nivel general, se poseen pocos conocimientos y experiencias en el manejo de ésta área..» ado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: “no es fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de “delitos” en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión “delitos informáticos” esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación. Lo que muchas veces puede ser un gran problema al momento del encuadre del hecho, debido a que la información no esta tomada como “cosa” para el derecho. Debido a la naturaleza virtual de los delitos informáticos, puede volverse confusa la tipificación de éstos ya que a nivel general, se poseen pocos conocimientos y experiencias en el manejo de ésta área. Desde el punto de vista de la Legislación vigente en Argentina es difícil la clasificación de éstos actos, por lo que la creación de instrumentos legales puede no tener los resultados esperados, sumado a que la constante innovación tecnológica obliga a un dinamismo en el manejo de las Leyes relacionadas con la informática. La falta de cultura informática es un factor crítico en el impacto de los delitos informáticos en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la información, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones. Nuevas formas de hacer negocios como el comercio electrónico puede que
ayuden a las organizaciones a minimizar las amenazas que presentan los delitos informáticos. La ocurrencia de delitos informáticos en las organizaciones alrededor del mundo no debe en ningún momento impedir que éstas se beneficien de todo lo que proveen las tecnologías de información (comunicación remota, Ínter conectividad, comercio electrónico, etc.); sino por el contrario dicha situación debe plantear un reto a los profesionales de la informática, de manera que se realicen esfuerzos encaminados a robustecer los aspectos de seguridad, controles, integridad de la información, etc. en las organizaciones.
17
SEGURIDAD DE LA INFORMACIĂ“N “... El Ăşnico sistema totalmente seguro, es aquel que estĂĄ apagado, desconectado, dentro de una caja fuerte de titanio, encerrado en un bĂşnker rodeado de gas venenoso y cuidado por guardias muy bien armados y muy bien pagos. AĂşn asĂ, no apostarĂa mi vida por ĂŠl ...â€? Dr. Eugene Spafford, fundador y director del proyecto COAST (Computer, Operations, Audit and Security Technology) de la Universidad de Purque USA Por Lucas
AnzoĂĄtegui
S
eguridad de la informaciĂłn es el estudio de los mĂŠtodos y medios de protecciĂłn de los sistemas de informaciĂłn y comunicaciones frente a revelaciones, modificaciones o destrucciones de la informaciĂłn, o ante fallos de proceso, almacenamiento o transmisiĂłn de dicha informaciĂłn, que tienen lugar de forma accidental o intencionada. La seguridad de la informaciĂłn se caracteriza como la protecciĂłn frente a las amenazas de la: Confidencialidad, que garantiza que la informaciĂłn es accesible exclusivamente a quien estĂĄ autorizado, Integridad, que protege la exactitud y totalidad de la informaciĂłn y sus mĂŠtodos de proceso y Disponibilidad, que garantiza que los usuarios autorizados tienen acceso a la informaciĂłn y a otros activos de informaciĂłn asociados en el momento que lo requieren. Algunas de las amenazas mĂĄs frecuentes estĂĄn relacionadas con el incumplimiento de las medidas de seguridad y con la administraciĂłn incorrecta de los sistemas y la comisiĂłn de errores en su configuraciĂłn y operaciĂłn. El incumplimiento de las medidas de seguridad, como consecuencia de actos negligentes o falta de controles adecuados, originan daĂąos que podrĂan haber sido evitados o por lo menos minimizados. SegĂşn las responsabilidades del usuario y la importancia de la norma incumplida, los daĂąos podrĂan llegar a ser de gravedad. Algunos ejemplos tĂpicos son: ¡ Guardar la llave del armario de los soportes fĂsicos con informaciĂłn confidencial en un sitio de fĂĄcil acceso. ¡ Dejar escritas en un papel, cerca de la estaciĂłn de trabajo, las contraseĂąas y claves de acceso. ¡ No disponer de archivo de respaldo en el momento en que se produce la perdida de datos.
ÂżCĂłmo se consigue la seguridad de la informaciĂłn? Implantando un conjunto de medidas o acciones encaminados a reducir los riesgos de seguridad provocados por las amenazas a los sistemas de informaciĂłn. Las medidas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicaciĂłn de uno o varias medidas de seguridad. Las medidas se pueden clasificar en tres categorĂas principales: 1. Administrativas 2. FĂsicas 3. TĂŠcnicas Las medidas administrativas incluyen las polĂticas y procedimientos de seguridad. Las polĂticas establecen lo que los usuarios
pueden y no pueden hacer al utilizar los recursos informĂĄticos de la organizaciĂłn mientras que los procedimientos estĂĄn relacionados con la renovaciĂłn de claves de acceso, las autorizaciones para acceder a los recursos, la revisiĂłn y validaciĂłn periĂłdica de la vigencia del tipo acceso, la asignaciĂłn de responsabilidades, conocimientos de la seguridad y formaciĂłn tĂŠcnica, gestiĂłn y supervisiĂłn de las tecnologĂas y soluciones aplicadas, la recuperaciĂłn tras averĂas o fallos y la realizaciĂłn y aplicaciĂłn de planes de contingencia. Las medidas fĂsicas limitan el acceso fĂsico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detecciĂłn de agua, fuego y humo. Las medidas fĂsicas tambiĂŠn incluyen sistemas de respaldo y alimentaciĂłn de reserva, tales como baterĂas y fuentes de alimentaciĂłn ininterrumpida (UPS). Las medidas tĂŠcnicas son controles que se implantan a travĂŠs de soportes fĂsicos o lĂłgicos difĂciles de vencer y que, una vez implantados, pueden funcionar sin la intervenciĂłn humana. El soporte lĂłgico especĂfico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestiĂłn de red, contraseĂąas, tarjetas inteligentes, control de acceso de llamadas, seguimiento de huellas o trazas de auditorĂa y sistemas expertos de detecciĂłn de intrusiones (IDS). Todas las medidas se pueden subdividir en preventivas y correctivas. Las primeras intentan evitar que ocurran acontecimientos indeseados, mientras que las medidas correctivas se orientan a identificar los incidentes y reducir sus efectos despuĂŠs de que hayan sucedido. Los objetivos de seguridad tienen que ser definidos por la organizaciĂłn dependiendo de: a) La valoraciĂłn de los riesgos a los que estĂĄ sometida la organizaciĂłn para alcanzar sus objetivos. Esta valoraciĂłn de riesgos permite identificar las amenazas contra los activos de informaciĂłn, su vulnerabilidad, la probabilidad de que se materialicen y el impacto potencial. b) Requisitos de tipo legal, por estipulaciĂłn de los estatutos, por normas o por otros requisitos de tipo contractual con sus clientes, contratistas o proveedores de servicios. c) Por otros principios, objetivos o requisitos relacionados con el proceso de la informaciĂłn. Los requisitos sobre seguridad fĂsica varĂan considerablemente segĂşn las organizaciones y dependen de la escala y de la organizaciĂłn de los sistemas de informaciĂłn. Pero son aplicables a nivel general los conceptos de: ¡ Asegurar ĂĄreas ¡ Controlar perĂmetros ¡ Vigilar las entradas fĂsicas ¡ Implantar equipamientos de seguridad
Una cosa tienen que tener en claro... Todos los integrantes del organismo, oficina o centro de cĂłmputos, deben estar capacita-
dos, formados, ya que el eslabĂłn que se corta es el mĂĄs dĂŠbil. Y ese eslabĂłn suelen ser los propios usuarios.
Definir mis “Bienesâ€? Hasta aquĂ, todo en orden, pero: ÂżSaben Uds. realmente lo que deben proteger? ÂżSe preguntaron alguna vez, que pasarĂa si “pierdenâ€? esos datos? ÂżQuĂŠ activo se estĂĄ protegiendo? ÂżQuĂŠ tan valioso es ese activo para mi trabajo? ÂżCĂłmo puede ocurrir la pĂŠrdida o exposiciĂłn? ÂżEstoy haciendo algo para evitar o contrarestar el nivel de daĂąo de dichos activos? Como podrĂĄn darse cuenta, nunca estaremos 100% seguros. ÂżY si llega ese momento tan temido? ÂżEstamos listos para seguir trabajando? Ya sea teniendo discos de back-up, quizĂĄs otro equipo listo para seguir. En el caso de una pequeĂąa empresa o de un usuario independiente, los sistemas de proceso de la informaciĂłn son utilizados por uno, o como mucho, por un nĂşmero pequeĂąo de usuarios y los activos de informaciĂłn son limitados. Con ello, se reduce la problemĂĄtica de protecciĂłn de la informaciĂłn y es mĂĄs fĂĄcil identificar el conjunto de medidas a ser implantadas para proteger a un nivel aceptable los distintos activos de informaciĂłn utilizados. ÂżEstĂĄn confundidos? Seguramente, pero de eso se trata la Seguridad. Hay que leer mucho, probar y aprender del error.
Seguridad del equipamiento Objetivo: Impedir pĂŠrdidas, daĂąos o exposiciones al riesgo de los activos e interrupciĂłn de las actividades de la empresa. El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de accesos no autorizados. Se deben adoptar controles para minimizar los riesgos de amenazas potenciales, por ejemplo: robo, incendio, explosiones ¡ Humo ¡ Agua ¡ Polvo ¡ Vibraciones (temblores) ¡ Efectos quĂmicos
ÂżQuĂŠ hacen estos programas? Cifra y firma digitalmente un texto PGP es estable, calificado como un software para el uso en producciĂłn y es comĂşnmente utilizado cuando lo que se busca es privacidad. Existen alternativas para GNU/Linux.
Almacenamiento de la informaciĂłn La informaciĂłn debe ser almacenada en un soporte normalizado y perdurable, el que sea mĂĄs adecuado a las necesidades de conservaciĂłn a corto, medio o largo plazo teniendo en cuenta las siguientes recomendaciones: Para el almacenamiento de documentos administrativos en condiciones que permitan garantizar su conservaciĂłn, integridad y calidad se recomiendan los soportes Ăłpticos no re-escribibles, como es el caso de los CD y DVD del tipo WORM (MĂşltiple lectura Ăşnica escritura); estos soportes duran muchos mĂĄs aĂąos y no se ven afectados por el nĂşmero de veces que se lean; tambiĂŠn se conocen en el mercado como soportes “no repudiablesâ€?. Por otra parte, existen cintas que sĂłlo pueden escribirse una vez, pero se degradan con el tiempo y el uso, lo que obliga a unas condiciones restrictivas de acceso a los datos, asĂ como a su almacenamiento en determinadas condiciones de humedad y temperatura.
3ERÉ EL 0RIMER %NCUENTRO !NUAL PARA 0ROFESIONALES DE LA 4ECNOLOGĂ“A CON EL OBJETIVO DE DAR A CONOCER LAS hMEJORES PRÉCTICASv QUE PROMUEVEN LA CALIDAD Y REDUCEN LOS COSTOS Y RIESGOS DE LA PRODUCCIĂ˜N DE LOS SERVICIOS TECNOLĂ˜GICOS 0ARTICIPE DEL #ONGRESO Y ESTĂ? JUNTO A NUESTROS +EYNOTE 3PEAKERS INTERNACIONALES COMO -!2'!2)4! #/00,%34/.% %8). (OLANDA CON TODAS LAS NOVEDADES DE LA #ERTIFICACIĂ˜N INTERNACIONAL
Privacidad de Datos Si lo que se pretende es tener algo de privacidad en los datos que enviamos o recibimos, se debe usar:
Y DE /CTUBRE 0ALACIO 3AN -IGUEL q #DAD DE "S !S
a. CriptografĂa ÂżCĂłmo viajan los datos? MĂŠtodos de encripciĂłn Mito: cuando nos conectamos a internet, mucha gente piensa que nos conectamos solo con nuestro proveedor de internet (ISP) Realidad: en realidad estamos conectados en red con alrededor de 1000 millones de PCs. Programas como PGP, de excelente calidad, hacen que estemos un poco mĂĄs seguros.
ITSM ITIL COBIT ISO2000 0!2! -Â3 ).&/2-!#)Âź. 6)3)4% 777 #/.'2%3/)43- #/- !2 #/-%2#)!,):!$/2! #%/ #/.35,4/2! ).&/2-%3 % ).3#2)0#)Âź. -!2)! &%2.!.$! '!2#¡! ,!342%3 #%/#/.35,4/2! #/.6%.)2 /2' !2 5N EVENTO DE )N 3ITU 3 ! #OMUNICACIĂ˜N E )MAGEN %MPRESARIA
18 Security&technology | SEPTIEMBRE 06
LINUX
CondorLinux Una distro alternativa Por Marcos
C
HERRAMIENTAS Condor Linux contiene mås de 200 programas listos para utilizar. Entre estos programas encontramos la siguiente clasificación de herramientas: ¡ Analizadores de Redes ¡ Reconocedor de Bugs de Sistemas Operativos ¡ Conexiones Remotas ¡ Mapeo de Red ¡ Editores ¡ Navegadores Web ¡ Firewall ¡ FTP ¡ Tråfico de Red ¡ Scanner de Puertos ¡ Tracer de Paquetes ¡ Sniffer ¡ Recuperación de Datos ¡ Creación de Imågenes ¡ Burning CD ¡ Navegación de Disco
P. Russo
ondor Linux es un sistema operativo basado en Linux – Debian Sarge como distribuciĂłn libre (Open Source). Condor Linux estĂĄ implementada como Live CD, es decir, corre desde una unidad de CDROM sin necesidad de ser instalado sobre el Hard Disk de la PC. Al tratarse de un Live CD estĂĄ asegurada la informaciĂłn existente en el disco rĂgido local, evitando la superposiciĂłn con el sistema operativo existente y la manipulaciĂłn de archivos propietarios. Esto es posible porque Condor Linux se carga sobre la memoria RAM, poniendo a disposiciĂłn todos los recursos del sistema a una velocidad sensiblemente mayor a otros sistemas operativos.
ÂżPor quĂŠ estĂĄ basado en Debian? Debian es una distribuciĂłn sumamente estable y robusta, estĂĄ compuesta por mĂĄs de 10.000 programas diferentes, es muy sencilla de actualizar las aplicaciones instaladas como asĂ instalar programas nuevos.
Condor Linux hereda estas valiosas caracterĂsticas y potencia sus aplicaciones orientĂĄndolas a la administraciĂłn de redes y sistemas.
Requerimientos ¡ MĂnimo 128 MB. ¡ Pentium II en adelante.
ÂżA quienes estĂĄ orientado? Dada su implementaciĂłn como Live CD, y el conjunto de herramientas que contiene, Condor Linux se orienta a usuarios que cumplen tareas de pericias informĂĄticas y administradores de redes, pero esto no excluye a usuarios que desarrollen cualquier otro tipo de actividad relacionada a informĂĄtica.
Condorlinux, lo que se viene en breve Aparte de la distribución en LiveCD, existe un Condor Linux instalable en disco. Ésta nueva distribución GNU/CondorLinux se basa en HLFS (Hardened Linux From
Scratch) y estĂĄ orientada a los servicios que hoy ofrece internet. Su escalabilidad garantizada por la utilizaciĂłn de software libre, se encuentra integrada ademĂĄs con herramientas de seguridad, punto importante que fue tenido en cuenta desde sus primeros pasos y, que motivaron el nacimiento de dicha distribuciĂłn. La administraciĂłn de los servicios que integra dicha distribuciĂłn se realiza por intermedio del navegador web, para facilitar su administraciĂłn remota, es un webmin modificado, de donde se puede administrar servicios de red, como routers, proxy, ftp, etc.
ďƒž PĂĄgina web del
proyecto
• www.condorlinux.org.ar
Para ver la lista completa de programas, puede entrar a la DocumentaciĂłn que figura en la pĂĄgina web http:// www.condorlinux.org.ar Desde aquĂ, tambiĂŠn puede descargarse la distribuciĂłn. Condor Linux utiliza XFCE v4.0 como ambiente de escritorio por sus altas prestaciones, sencillez de uso y bajo consumo de recursos del sistema. AdemĂĄs Condor Linux monta en forma automĂĄtica todas las particiones del disco rĂgido local en forma de lectura. Esta caracterĂstica es crucial ya que no es posible borrar por accidente ningĂşn dato del disco rĂgido como tampoco escribir en ĂŠl, lo que coloca a Condor Linux como una herramienta ideal para la realizaciĂłn de pericias informĂĄticas. Condor Linux soporta tanto las particiones de Windows 95/98/ME/ XP/2000 como asĂ tambiĂŠn las particiones de GNU / Linux. La versiĂłn de kernel es Linux 2.4.26 proxima actualizar.
353#2)"!3% $ESCARGE LA REVISTA GRATUITAMENTE DE WWW ST MAGAZINE COM O SUSCRIBASE PARA RECIBIRLA EN FORMATO IMPRESO Y PARTICIPE DE NUESTROS SORTEOS MENSUALES
3I DESEA RETIRARLA GRATUITAMENTE EN NUESTRAS OFICINAS LLAME AL 0ARA MÉS INFORMACIĂ˜N WWW ST MAGAZINE COM
$IFERENCIATE
#APACITATE CON LOS MEJORES PROFESIONALES DE 3EGURIDAD DE LA )NFORMACIĂ˜N .UESTROS PROFESIONALES CUENTAN CON LAS SIGUIENTES CERTIFICACIONES #)330 #%( ##30 ##.0 -#3% ).&/3%# ##.! #.! )3%#/- /)33' .30 -#0 ,0)# ENTRE OTRAS
)4 3%#52)49 02/&%33)/.!,3
Calendario de SECURITY TRAINING Curso de PreparaciĂłn a la CertificaciĂłn Internacional CISSP (Certified Information Systems Security Professional) OpciĂłn I - Intensivo DuraciĂłn: 40 Horas Modalidad TeĂłrico. Fecha: Septiembre: Dias: Lunes 25 al Viernes 29. Comienzo Lunes 25. Horario: 9 a 18 Hs.
Curso de PreparaciĂłn a la CertificaciĂłn Internacional CISSP (Certified Information Systems Security Professional) OpciĂłn II. DuraciĂłn: 80 Horas Modalidad TeĂłrico-Practico. Incluyen Labs. Fecha: Septiembre: DĂas Martes y Jueves. Comienzo Martes 19. Horario 09 a 13 hs. “Consultar descuento especialâ€? Fechas Septiembre: DĂas MiĂŠrcoles. Comienzo: MiĂŠrcoles 20. Horario 19 a 22 horas.
Cisco Pix Firewall
DuraciĂłn: 15 Horas Fecha: Septiembre: DĂas: Viernes. Comienzo Viernes 8. Horario: De 19 a 22 Hs. DĂas sĂĄbados. Comienzo 9 Horario: de 9 a 13 horas.
C E H (Certified Ethical Hacker)
DuraciĂłn: 40 Horas Fecha: Septiembre: Dias Jueves. Comienzo Jueves 14. Horario 19 a 22 hs DĂas sĂĄbados. Comienzo SĂĄbado 16. Horario 09 a 13hs. Fecha Septiembre: DĂas Martes. Comienzo Martes 19. Horario 19 a 22 horas.
C H F I (Computer Hacking Forensic Investigator) DuraciĂłn: 40 Horas Fecha: Septiembre: DĂas Lunes. Comienzo Lunes 18. Horario: De 19 a 22 hs.
Curso de InformĂĄtica Forense
DuraciĂłn: 12 horas Fecha: Septiembre: DĂas MiĂŠrcoles y Viernes. Comienzo: MiĂŠrcoles 20. Horario: De 19 a 22 Hs. Fecha Septiembre: Lunes y Miercoles, de 09 a 13 horas. Comienzo: Lunes 18.
Curso Ethical Hacking
DuraciĂłn: 15 horas Fecha: Septiembre: DĂas Lunes/MiĂŠrcoles/Viernes. Comienzo Lunes 11. Horario: 19 a 22 Hs.
ConfiguraciĂłn y Seguridad en ISA Server
DuraciĂłn: 16 horas Fecha: Septiembre: DĂas: Miercoles. Comienzo Miercoles 13. Horario: De 19 a 22 hs
Todos los Security Trainings pueden ser dictados a distancia, in company o en forma personalizada, asimismo en el interior y exterior del paĂs. Windows Security
DuraciĂłn: 16 horas Fecha: Septiembre: DĂas: Martes y Jueves. Comienzo: Martes 19. Horario: De 19 a 22 Hs
Configuracion, Seguridad y Hacking Wireless
DuraciĂłn: 12 horas Fecha: Septiembre: DĂas: Lunes/MiĂŠrcoles/Viernes. Comienzo: lunes 25. Horario: De 19 a 22 Hs.
Implementando ISO 20000
DuraciĂłn: 12 horas Fecha: Septiembre: DĂas: Lunes/MiĂŠrcoles/Viernes. Comienzo Lunes 4. Horario: De 19 a 22 Hs
Curso Seguridad InformĂĄtica
DuraciĂłn: 15 horas Fecha: Septiembre: Comienzo: Lunes 18. Horario: De 19 a 22 Hs.
Curso Security & Hacking Linux Networks
DuraciĂłn: 9 horas Fecha: Septiembre: Lunes y MiĂŠrcoles. Comienzo Lunes 25. Horario: De 19 a 22 Hs.
Exploiting
DuraciĂłn: 8 horas Fecha: Septiembre: Dias: Lunes y MiĂŠrcoles. Comienzo: Lunes 11. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 16 de Septiembre de 09 a 18 horas.
IngenierĂa Inversa
DuraciĂłn: 9 horas Fecha: Septiembre: DĂas: MiĂŠrcoles. Comienzo MiĂŠrcoles 13. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 23 de Septiembre de 9 a 18 horas. Fecha Septiembre MaĂąana: MiĂŠrcoles 20 y Viernes 22 de 09 a 13 Horas.
IDS / IPS/ Honey Pots
DuraciĂłn: 12 horas Fecha: Septiembre: DĂas: Lunes y MiĂŠrcoles. Comienzo: Lunes 25. Horario: De 19 a 22 Hs
SQL Security / SQL Injection
DuraciĂłn: 9 horas Fecha: Septiembre: Comienzo Martes 19. DĂas: Martes/MiĂŠrcoles/Jueves. Horario: De 19 a 22 Hs. Fecha: SĂĄbado 30 de Septiembre de 09 a 18 horas.
LPIC - 1 “Administrador de Sistemas Linux�
DuraciĂłn: 40 horas Fecha: Septiembre: DĂas: Lunes y Martes. Comienzo Lunes 11. Horario: De 9 a 13 Hs. Fecha: Dias Lunes y MiĂŠrcoles. Comienzo Miercoles 11. Horario 19 a 22 horas.
LPIC - 2 “Administrador de Sistemas Linux�
DuraciĂłn: 40 horas Fecha: Septiembre: Comienzo lunes 25. DĂas: Lunes/Martes/MiĂŠrcoles. Horario: De 9 a 13 Hs.
Programa de CapacitaciĂłn GNU/Linux
Management de un Pentest
MĂłdulo 1. Operador-Administrador DuraciĂłn: 16 horas Fecha: Septiembre: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 4. Horario: De 19 a 22 Hs.
ConfiguraciĂłn y Seguridad en Servidores Windows
Modulo 2. Seguridad DuraciĂłn: 8 horas Fecha: Septiembre: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 18. Horario: De 19 a 22 Hs.
DuraciĂłn: 16 horas Fecha: Septiembre: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 4. Horario: 19 a 22 Hs DuraciĂłn: 15 Horas Fecha: Septiembre: DĂas: Lunes y MiĂŠrcoles. Comienzo Lunes 25. Horario: 19 a 22 Hs. DĂas sĂĄbados. Comienzo SĂĄbado 23. Horario 09 a 13hs.
Asegurando IIS 6.0
DuraciĂłn: 16 horas Fecha: Septiembre: DĂas: Martes y Jueves. Comienzo: Martes 12 Horario: De 18 a 22 Hs
Seguridad y Hacking Aplicaciones Web
DuraciĂłn: 16 horas Fecha: Septiembre: Comienzo: Lunes 18. DĂas: Lunes/MiĂŠrcoles/Viernes: Horario: De 19 a 22 Hs.
Âť Consultar por prĂłximos calendarios en training@securityc.com. Âť Consultar por dĂas y horarios especiales. Âť Nuestros Instructores cuentan entre otras certificaciones como, CISSP, CEH, CCSP, CCNP, MCSE, INFOSEC, CCNA, CNA, ISECOM,OISSG, NSP, MCP, LPIC, etc. Âť Consultas: training@securityc.com
En un mundo donde los ataques informáticos son cada día más sofisticados,
Contar con expertos en Seguridad de la Información es la única solución.
)4 3%#52)49 02/&%33)/.!,3
Seriedad y respaldo en Seguridad de la Información
Partners
Reseller
Hoy las empresas necesitan proteger sus activos digitales críticos debiendo estar alerta en forma constante. Asegurar una empresa requiere una actitud proactiva y una vigilancia continua. Quienes realicen dicha tarea debe ser la gente correcta con el expertise correcto. Sólo aquellos que tengan el conocimiento apropiado para poder construir las defensas no serán víctimas de las amenazas externas e internas. En Security Consultants combinamos diferentes aspectos para que las organizaciones puedan incluir nuestros recursos. Somos líderes en servicios de Consultoría de Seguridad e Inteligencia Informática, brindamos respuesta a la necesidad de resguardar los activos de información.