seguridadpreventiva - unam · seguridadpreventiva: distintosenfoquesdemonitoreo yprevención...
TRANSCRIPT
Seguridad Preventiva
Distintos enfoques de monitoreo y prevenciónWeb
Semántica
No.1 5 / Noviembre-Diciembre 201 2 ISSN: 1 251 478, 1 251 477
WIPS Riesgo TecnológicoParte II
HoneynetProject
Guía decontraseñas
Día deLimpieza
15Seguridad Preventiva
Distintos enfoques de monitoreo y prevención
Contenido
Password-fu:Guía fácil para contraseñas realmente seguras
< 04 >
Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI, revista especial izada en temas de seguridad delUNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.
< 1 0 >
< 1 2 >
< 1 7 >
< 21 >
< 27 >
Riesgo tecnológico y su impacto para lasorganizaciones parte II Gobierno de TI y riesgos
El efecto Blancanieves de la búsqueda deinformación en Internet y su impacto en entornoseducativos virtuales
The Honeynet Project map
El nuevo paradigma de seguridad en redesinalámbricas
Día de Limpieza
Seguridad Preventiva:Distintos enfoques de monitoreoy prevención
En honor a nuestro nombre, Cultura de prevenciónpara TI, decidimos lanzar un número enfocado afortalecer la seguridad de todos nuestros lectoresdesde el momento mismo en que surge nuestraactividad con la tecnología.
Queremos ofrecer una perspectiva distinta deseguridad que se anticipe a las mentesmalintencionadas. Proponemos lanzar elcompromiso de seguridad a quienes operamos conla tecnología, no a la tecnología en sí; a quienesmanipulamos nuestra información y la de otros parano dejar la seguridad confiada en las aplicacionescon las que se manipula esa información. Es decir,la seguridad reforzada en los usuarios y no en lossistemas.
En .Seguridad creemos que la fortaleza de laseguridad radica en lograr evitar que un ataquesuceda y no en cómo defenderse ante éstos. En estenúmero queremos ofrecer un enfoque distinto alconocido paradigma de seguridad. Proponemos enesta edición,que el pi larmás importante y por lo tantoel más fuerte de la seguridad seamos los propioshumanos, usuarios de la tecnología.Generar una consciencia de prevención, en materiade seguridad de la información es vital hoy en día.Si mitigamos en la medida de lo posible el origen decualquier riesgo, lograremos un camino más seguropara transitar en la era digital.
Conocer los riesgos a los que estamos expuestosnos ayudará a prevenirlas. Si identificamos lasamenazas, no solo tendremos parte de la solución,sino que también fortaleceremos la consciencia decómo evitarlas antes de quelogren tocar nuestrapuerta.
L.C.S Jazmín López SánchezEditoraSubdirección de Seguridad de la Información
.Seguridad, Cultura de prevención TI / Número 1 4 / Julio-Agosto 201 2 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral
DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN
DIRECTOR GENERALDr. Felipe Bracho Carpizo
DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio
SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna
DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte
EDITORAL.C.S. Jazmín López Sánchez
ARTE Y DISEÑOL.D.C.V. Abraham Ávila González
DESARROLLO WEBIng. Jesús Mauricio Andrade GuzmánIng. Angie Aguilar Domínguez
REVISIÓN DE CONTENIDOIng. Miguel Ángel Mendoza LópezIng. Jesús Mauricio Andrade GuzmánIng. Abraham Cueto MolinaIng. Miguel Raúl Bautista SoriaIng. Jesús Tonatihu Sánchez NeriIng. Manuel Quintero LópezIng. Mario Martínez Moreno
COLABORADORES EN ESTE NÚMEROGalvy Ilvey Cruz Valencia / Erika Gladis DeLeón Guerrero / Jesús Tonatihu Sánchez Neri /Miguel Raúl Bautista Soria / Sergio AndrésBecerril López / Alexandra Ramírez Castro /Angie Aguilar Domínguez / Jesús MauricioAndrade Guzmán / José Luis Sevilla Rodríguez /Abraham Cueto Molina / Rubén Aquino Luna /Miguel Ángel Mendoza López / Andrea MéndezRoldán / Gustavo Villafán Enríquez / CélicaMartínez Aponte
Editorial
UNAMCERT
¿Qué es el efecto Blancanieves de labúsqueda de información en Internet?
Todos conocemos el cuento de Blancanieves,en el que una inocente manzana envenenada,dada por la malvada reina hechicera, lograafectar casi hasta la muerte a la bella princesa.Con base en la idea clímax de este cuento, hagola analogía de lo que ocurre con una de lasprincipales tareas a las que nos enfrentamos losusuarios de entornos virtuales: la búsqueda deinformación.
En este supuesto, los buscadores representana la manzana, los cuales mediante ciertastécnicas, usualmente scripts de PHP, puedenser ʻenvenenadosʼ, afectando sus resultados, aligual las computadoras de los usuarios(Blancanieves). Siguiendo con la metáfora, lareina hechicera son personas maliciosas que
implementan esas técnicas para alterar, a suconveniencia, los resultados.
Así, el motor de búsqueda envenenado “es eltérmino genérico dado a ciertos trucos y técnicasque se usan para elevar la posición de una URLespecífica en los resultados enlistados de losmotores de búsqueda. Cuando tienen éxito, losmotores de búsqueda envenenados puedentener un efecto significativo en el volumen detráfico a un sitio” (Howard & Komil i , 201 0, p.2).
En ocasiones el sitio súper posicionado puederesultar ser uno dedicado a la publicidad dediferentes productos o servicios; pero tambiénes posible que diri ja a sitios relacionados coninformación falsa, pornografía e incluso
El efecto Blancanieves de la búsqueda deinformación en Internet y su impacto enentornos educativos virtualesPor Galvy Ilvey Cruz Valencia
04
UNAMCERT
almacenadores de software malicioso (porejemplo, troyanos de falsos antivirus conocidoscomo scareware).Como lo indicó en 201 1 la empresa de seguridadinformática Imperva, “el abuso de un sitio webpuede provocar no solo la pérdida de reputaciónde una institución, el robo de la base de datosde los clientes o el redireccionamiento, sino tenerun impacto claramente negativo en laaccesibi l idad a un sitio legítimo” (Help NetSecurity, 201 1 ).
Estos datos nos llevan a vislumbrarsuperficialmente el problema que representa elefecto Blancanieves. Comúnmente, losacadémicosyexpertosen temasen líneaevalúanlos riesgos; por lo que en respuesta elaboranprocesos que ayuden a enfrentarlos, como laWeb Semántica, aunque pocas veces tocan eltema de motores envenenados.
Web Semántica, ¿una verdadera respuesta alas necesidades información legítima?
En el mismo cuento de Blancanieves, cuandollegan los siete enanos a su casa después deuna larga jornada de trabajo, empiezan adescubrir a través de pistas que alguien habíaentrado a su casa. Usando un principio similar,los expertos en búsquedas en Internet proponenel método deWebSemántica como paliativo paradetectar sitios con información legítima y úti l .La Web Semántica se define como “una web
extendida, dotada de mayor significado, en la quecualquier usuario en Internet podrá encontrarrespuestas a sus preguntas de forma más rápidaysencil la gracias auna informaciónmejordefinida[…]. Con base en el significado, se apoya enlenguajes universales que resuelven losproblemas ocasionados por una Web carente desemántica en la que, en ocasiones, el acceso ala información se convierte en una tarea difíci l yfrustrante” (Leguízamo & García, 201 1 , p. 84).
05
UNAMCERT
Nótese que la tarea primordial expresada porLeguízamo yGarcía (201 1 ) se centra únicamenteen la expresión de accesibi l idad, no de seguridadde la búsqueda de información.Para sustentar esta idea veamos cómo funciona,cada una de estas técnicas.
Funcionamiento de la Web Semántica
Revisemos cómo opera la Web Semántica.Inicialmente requiere que el usuario ubique unidentificador único para cualquier recursopresenteen laweb, esdecir, un registro irrepetible;indican Leguízamo y García (201 1 ) que para elloes necesario localizar las Uniform ResourceIdentifier URIʼs (Identificador Uniforme deRecurso ysu subconjunto conocido comoUniformResource Locator URLʼs (Localizador deRecursos Uniforme).
De este modo, los recursos contenidos en laWebSemántica se basan en convertir las expresionesde los recursos de búsqueda en un ordensemántico concreto, similar a un enunciado(sujeto, predicado y objeto). Los autores señalana éste como ʻtripleteʼ; donde el sujeto serepresenta como todo aquello descrito, elpredicado es la propiedad de relación que tienecon los recursos y finalmente el objeto es el valorque los relaciona. Su eficacia se basa en estaasociación y en la incorporación de metadatos(definidos como información de la información).Como detalla el párrafo anterior, nos enfrentamosa un primer predicamento de la Web Semánticapara responder a las necesidades prácticas deoptimización debúsquedas: laelaboraciónmismade los documentos, lo que complica su eficacia ydeducción.
Al respecto, Leguízamo y García (201 1 ) integranel uso de ontología en laWebSemántica, es decir,que cada uno de los datos posea una significanciapropia en tanto sea dato. Así se realizan lasclasificaciones pertinentes para que cada uno deellos exista de manera independiente dentro deun programa de estudios diverso.
Al final el postulado queda aún demasiadohipotético, incluso otros autores afirman que “laʻWeb semántica, como un todo para Internet, noesaún una realidad” (Uribe, 201 0, p.1 ), ni tampocolo más efectivo.
¿Cómo funcionan los ataques de motores debúsqueda?
En primera instancia “los buscadores sonherramientas especial izadas en localizar datosdistribuidos en toda Internet […] contienen unabase de datos organizada que sirve paraencontrar direcciones electrónicas de otrossitios” (Bassi 2001 , p.3). Esa base de datos seconoce como SEO (Search Engine Optimizationo Motor de Búsqueda Optimizado).
Por consiguiente, los ataques deenvenenamiento se dirigen a la SEO y dichaacción es relativamente simple:“los atacantes usan paquetes de datosespecialmente diseñados para crear páginasweb orientadas con palabras y frases clave dealgún tópico que saben, por experiencia y/oanálisis de tráfico, serán buscadas por losusuarios. Entonces, cuando un visitante consultepor alguna palabra clave el resultado que ellosdeseen siempre quedará en la primera posición.Al dar clic sobre el enlace, expondrá al usuarioa sitios malintencionados o a infectar su equipocon un malware” (Howard & Komil i , 201 0, p.3)Hasta este punto, se pensaría que es fácildetectar: si el sitio se encuentra en primeraposición, y si no es de una página que sereconozca como legítima, pues no seleccionarla.Bien, pues los ataques van más allá.
Los paquetes, o kits black hat para SEO, puedenaprovechar las vulnerabil idades de páginaslegítimas para comprometerlas y de estamaneralograr un mayor éxito en el ataque.Un caso concreto que la empresa de seguridaden Internet Sophos ha analizadominuciosamente, es la distribución de falsosantivirus. “De hecho, una vez que un sitio escomprometido, se le puede abusar de muchasmaneras: desdehospedarun sitiophishing, hastaproveer una plataforma desde la cual se generenotros ataques” (Howard & Komil i , 201 0, p.3)En la siguiente imagen se muestra un ejemplode motor de búsqueda envenenado, en el sepretende dirigir a los usuarios a sitios maliciososa través de resultados de búsqueda sobre laCopa Mundial de Fútbol: (Figura 1 )
06
UNAMCERT
El efecto Blancanieves, como hemos revisadocon antelación, encajaríaperfectamenteen estostres riesgos, veamos por qué:
A) El usuario promedio no tiene control sobre laSEOdel buscador, muchomenoscapacidad paraautomatizar la acotación de sus resultados.B) Al ocultarse el ataque demotores de búsquedaSEP(Search Engine Poisoningo,envenenamiento de motores de búsqueda bajoun URL de sitios legítimos) hace que pensemos,de una u otra manera, en el riesgo de lainformación enmascarada.C) Aunque creamos conocer a los emisores deciertos datos en Internet, debemos considerarsiempre los problemas de garantía señalados.
La Web Semántica apoyada en los tripletes,mencionaba la secuencia hilada de URL; perocon lo que hemos deducido hasta ahora, éstasson sensibles al SEP, por lo que resultaría la fallamás sensible de la técnica.
En el ejemplo expuesto por Leguízamo y García(201 1 ):
Se denota que una de las URL proviene de unenlace de terceros, esto es que el sitio ʻnoesisʼaloja dos de los contenidos y el tercero está enLinkedIn . Según Sophos, muchos de los ataquesde SEP se deben a referencias de terceros y nopropiamente adeficiencias en los sitios legítimos.Esto comprueba, en cierta medida, la respuestaefectiva avalada de información legítima de laWeb Semántica.
Otra de las confrontaciones de SEP y WebSemántica resulta en el uso de ʻontologíasʼ, quela segunda rescata para confirmar la unidad deun recurso en la red; describe Leguízamo yGarcía (201 1 ) “la ontología es la manera máshabitual para añadir significado semántico a laweb. Para lograr esto, la ontología debe estarconformada por una taxonomía y un conjunto de
Fig. 1 . Ejemplo gráfico de un motor de búsqueda envenenado(Corrons, 201 0)Fig.
Hasta aquí, se puede destacar que: tanto laWebSemántica como los ataques al SEO implicanuna elaboración previa, los URL comoidentificadores únicos, uno es más activo que elotro y que, finalmente, ambos son producto depalabras o frases concretas enarboladas por losusuarios.
El impacto del efecto Blancanieves enentornos educativos virtuales pese al usode la Web Semántica
“Aprender a buscar y seleccionar en Internet”(Monereo, 2005, p.1 ), tres competenciasformativas que los alumnos de educación adistancia debemos desarrollarirrenunciablemente, pero se nos advierte:¡Cuidado, Internet es un espacio de todos yanónimo!El autor Monereo (2005) enlista riesgos deInternet. Recuperó para propósitos de esteensayo, 3 de ellos:
• Falta de control de automatización y control dela información.• Información enmascarada.• Problemas de garantía, procedencia yconfiabil idad de la información.
Fig. 3. Modelo Sujeto-Predicado-Objeto (Leguízamo & García, 201 1 ,p. 85)
07
UNAMCERT
reglas de inferencia” (Leguízamo&García, 201 1 ,p. 90).
Sin embargo, hay que tener en cuenta que eléxito del SEP radica precisamente en la noruptura semántica entre la búsqueda y elresultado; es decir, si nos enfrentamosaunmotorde búsqueda envenenado, entre más añadamoscomponentes semánticos, mayor será el riesgode ser redirigidos a un sitio envenenado.Y es que, como señala Imperva, “esta técnica esparticularmente efectiva en tanto el criminal noirrumpa o corte, cualquier servidor involucradoparaejecutarel ataque. Sinomásbien, encuentresitios vulnerables en él para inyectar su códigoy después cambiar los resultados de búsquedapara propagar su malware”. (Help Net Securty,201 0)
Finalmente, el tercer punto de Monereo (2005):la carencia de garantías. En este sentido, laWebSemántica se vislumbra como un potenterecurso, apunta Leguízamo y García (201 1 ), enun periodo de 5 años podría apuntalar yperfeccionar las búsquedas en Internet; duranteese periodo es probable que también sepresenten mejoras en la seguridad de losbuscadores para evitar el SEP y sus ataques, loque representaría un cambio totalmenterevolucionario para los estudiantes de entornosvirtuales.
Consejos para enfrentar el efectoBlancanieves
En el cuento, el antídoto para librar aBlancanieves del efecto de envenenamiento esel beso de amor verdadero. En nuestro caso, serequiere una documentación previa para que losconsejosqueacontinuación seenumeran tenganeco entre los usuarios.Es importante dejar en claro que los tips aquípresentados son ante todo preventivos y noactivos. Algunos estudiantes más ávidos,podrían recurrir a una participación más activa,aunque para efectos de este ensayo, me limitaréa los primeros.
1) Revise la URLTal y como lo retoma laWeb Semántica, las URL
son identificadores únicos de un recurso en lared. No existe una URL igual a otra, aunque síunas muy parecidas; una letra puede hacer ladiferencia, por loqueesnecesario serminuciososal digitar una URL. SEP puede provocar que unaURL escrita perfectamente entregue malware,así que se requiere atender el siguiente consejo.
2) Mantenga una solución antivirus actualizadaDada la incertidumbre que genera el encontraruna URL comprometida durante una búsqueda,se requiere irun pasoadelante. Porello, el usuariodebe contar con una solución antivirus vigente.De lo contrario, se expone casi por defecto a unainminente infección. Algunos antivirus ofrecenprotección preventiva sobre ciertos sitios. Porejemplo, al buscar el tema ʻla ética educativaʼ, elproveedor de antivirus AVG advierte con marcas
la seguridad de un sitio:
3) Actualice el navegador regularmenteSi bien muchos de los ataques se efectúan desdeel código para inyectar HTML maliciosos, el notener al día el navegador web es otra posibi l idadque potencial iza los ataques SEP, por lo quenunca está demás instalar las actualizacionesdel navegador (ni tampoco las que solicite el
Fig. 3. Sistema de seguridad Web de la solución antivirus AVG 201 2(Google, 201 2)
08
UNAMCERT
sistema operativo que administre, no importa sies Windows o OS X).
4) Prefiera búsquedas segurasPor búsqueda segura se entiende a aquellosprocesos cuyos resultados requieren ingresardatos de sesión y cuentan con protocolo HTTPS.A estos resultados se les identifica a través deun icono de candado en la línea de entrada deURL; es decir, ese campo de texto donde seingresan las direcciones electrónicas. Enocasiones, se sobresaltan en color verde. Ya quelos ataques SEP, se dirigen en su mayoría asitios populares. Empresas como Google,Facebook y Twitter, hacen uso de estatecnología.
5) Deshabilite aplicaciones web que no ocupe osean innecesariasCada aplicación instalada es una oportunidadpara ataques. Recuerde: muchos ataques SEP
Fig. 4. Sistema de seguridad Web de la solución antivirus AVG 201 2(Google, 201 2)
se producen a través de sitios de terceros. Porello, se debe ser selectivo con lo instalado paraevitar abrir oportunidades.
6) El reto de superar la infoxificaciónLa infoxificación categorizada por Monereo(2005), es una confrontación inmediata. A travésde funciones booleanas podemos sortear supersistencia. Sin embargo, como se ha revisado,no basta ser selectivos con los sitios elegidos,sino también precavidos con los resultadossugeridos por el buscador para no caer en sitiosindexados por ataques SEP.
Estos consejos son básicos, pero lo suficientespara iniciar una concientización sobre lo queimplica una búsqueda en Internet. El propósitono es atemorizar a los usuarios para que seabstengan de hacer búsquedas, sino abrir todoslos panoramas, de modo que se tengan lasherramientas para actuar de manera rápida yeficaz ante esta realidad.
Referencias
Bassi, R. (2001 ). Manual: Cómo buscarinformación en Internet. Recuperado el 4 demayode 201 2, dehttp://www. l inks.org.ar/weblinks/buscar.pdf
Corrons, L. (201 0, Jul io 1 6). Dissecting aBlackHatSEO attack. Recuperado el 1 2 de junio de 201 2,dehttp://pandalabs.pandasecurity.com/dissecting-a-blackhat-seo-attack/
WikiDisney. (2009, Mayo 29). La manzanaenvenenada. Recuperado el 1 7 de junio de 201 2,dehttp://es.disney.wikia.com/wiki/La_Manzana_Envenenada
Gándara, M. (2008). Telesesión 6 Búsquedaeficiente en Internet (I ) de “Uso de Tecnología deInformación y Comunicación” MCyTE-CECTE-ILCE, México.
Gándara, M. (2008). Telesesión 7 Búsquedaeficiente en Internet (I I ) de “Uso de Tecnologíade Información y Comunicación” MCyTE-CECTE-ILCE, México.
09
UNAMCERT
1 Para referencias de problemas de seguridad en
LinkedIn, véase la nota:
http://www.seguridad.unam.mx/noticia/?noti=3851
Gándara, M. (2008). Telesesión 1 0 Cómonavegar en Internet sin naufragar en el intentoI I . Programas auxil iares (plug-ins) de “Uso deTecnología de Información y Comunicación”MCyTE-CECTE-ILCE, México.
Google. (201 2). Recuperado el 1 2 de junio de201 2, dehttp://www.google.com.mx/webhp?source=search_app
Help Net Security. (201 1 , Junio 9). How searchengine poisoning works. Recuperado 1 3 demayode 201 2, http://www.net-security.org/secworld.php?id=1 1 1 41
Howard, F & Komil i , O. (201 0). Poisoned searchresults: How hackers have automated searchengine poisoning attacks to distribute malware.SophosLabs, 1 5pp. Recuperado el 4 de mayode 201 2, dehttp://www.sophos.com/security/technical-papers/sophos-seo-insights.pdf
Leguízamo, L.V. ,& García, C.J. (201 1 ).Semántica de las búsquedas de información enentornos virtuales de formación. Revista TESI.Universidad de Salamanca, 432, 80-97.Recuperado el 1 7 de abri l de 201 2, dehttp://bit. ly/HT9k2A
Monereo, C. (Coord. ) (2005). Aprender a buscary seleccionar en Internet. México: Graó.
Uribe, A. (201 0). LaWebsemánticaysusposiblesaplicaciones en las universidades. Recuperadoel 1 0 de junio de 201 2, dehttp://acimed.sld.cu/index.php/acimed/article/view/41 /20
1 0
UNAMCERT
de talla internacional y sin fines de lucro. Estádedicada a realizar investigaciones acerca de losmás recientes ataques informáticos y adesarrollar herramientas de seguridad de códigoabierto que ayudan a mejorar la seguridad deInternet.
El proyecto realiza acciones de concientizaciónpara involucrar a especial istas en seguridad
informática, así como enseñar e informar alpúblico en general, acerca de las amenazas alos sistemas de TI y a la información.
Desde 1 999 el proyecto ha contribuido conherramientas de detección de intrusos y ataquesmaliciosos, incluidas algunas como captura demalware y visualización de ataques. Gracias aestas contribuciones, la organización se ha
El mapa de visualización Honey Net es unproyecto nacido del Honeynet Project, unesfuerzo de la autoría de Florian Weingarten yMark Schloesser con el fin de mostrar de formaclara una parte de los ataques que se realizana computadoras y estaciones de todo el mundo.
Actualmente el proyecto Honeynet Map seencuentra en su fase Alpha, sin embargo, no
todos los sensores o Honeypots se visualizanen la pantalla del Honey Map. El UNAM-CERTse unió a este proyecto aportando lasestadísticas de los sensores o Honeypots quese pueden apreciar en la sección de México enel mapa.
El Proyecto Honeynet
Es una organización de seguridad informática
HoneyNet Project mapIng. Miguel Raul Bautista Soria
11
UNAMCERT
UNAM-Chapter, en el que todos los miembrosdel proyecto a lo largo del mundo se reúnen paramostrar sus avances, presentar nuevasherramientas desarrolladas, resultados e,incluso, impartir tal leres públicos yprivados sobreconceptos de seguridad, manejo deherramientas, competencias de seguridad, etc.
La idea del mapa nace a partir del uso eimplementación de un servidor centralizado quese uti l izará para recolectar la información deataques que detecten las herramientasdesarrolladas por los miembros del proyecto.
Toda la información recolectada en el servidor escompartida entre todos los miembros que tenganacceso al servidor central y ayuda a generarestadísticas y obtener muestras de actividadmaliciosa para estudio de las mismas por otrosmiembros.
mantenido a la vanguardia en la seguridadinformática en todo el mundo.
Estas herramientas son y se mantienen de usolibre, así como el mapa mismo, puede seraccedido desde cualquier computadora paradarle el uso que mejor convenga.
El UNAM-Chapter
En el año 2002, el UNAM-CERT se convierte enmiembro del Proyecto Honeynet como UNAM-Chapter. Desde entonces ha tenido acceso a lainformación, avances y herramientasdesarrolladas (y en fase de desarrollo) antes deque éstas sean publicadas, además de compartirexperiencias, lo que ha ayudado al UNAM-CERTaaumentar ymejorar sus técnicas yherramientasdedetecciónde intrusos, alo largodeRed-UNAM.
En el año 201 0 la UNAM fue la sede de la reuniónanual del proyecto llamada Honeynet ProjectAnnual Workshop. Este evento de caráctermundial fue organizado por UNAM-CERT y el
Fig. 1 . Honeynet Project map
1 2
UNAMCERT
Lafuncióndelmapaesmostrartodala informaciónque recibe el servidor central en tiempo real, esdecir, ataques que están ocurriendo en estemomento. Para lograr su objetivo, se realizan unaserie de acciones para transformar la informacióna coordenadas del mundo, mostrando laubicación en donde se generó el ataque y laubicación en donde se detectó este ataque.
Los Honeypots que reportan al mapa son deataques web, ataques SSH y los resultados decaptura del malware. Este mapa muestra a losusuarios una visión más clara de ataques realesque están sucediendo a lo largo del mundo.
El mapa consta de tres partes a destacar.
• Los puntos amaril los indican la ubicacióngeográfica de la herramienta que detectó elataque.• Los puntos rojos indican la ubicación geográficaen donde se originó el ataque.• Un recuadro en la parte superior en el cual seindica la hora y la herramienta que detectó elataque seguidos de laciudad, país ycoordenadasatacantes; posteriormente la ciudad, país ycoordenadas en donde se detectó el ataque.
El UNAM-Chapter participa en este mapa pormedio de la implementación de las herramientasde detección desarrolladas por los miembros delproyecto y su correcta configuración de envío alservidor de recolección centralizado. Estoposiciona al UNAM-CERT dentro de lacolaboración con el proyecto y su interés pormejorar sus capacidades de detección y asímantener informada a la comunidad.
Firmas o identificadores de malware, tendenciasde ataques.Generar una base de datos completa deHoneynet.Ser los primeros del país en aparecer en el mapa.
La iniciativa de haber implementado un mapa deésta índole ayuda a la comunidad a tener unavisión más acercada a los ataques cibernéticosque ocurren día a día en el mundo.
1 3
UNAMCERT
Día de Limpieza
Anualmente se celebra el “Sweep Day” o “Díade Limpieza”, un ejercicio internacional, queconsiste en lanavegación en Internet simultáneaen varios países para monitorear de maneraaleatoria diversos sitios electrónicos con el finde verificar si éstos cumplen con lo estipuladoen los Lineamientos de la Organización para laCooperación y el Desarrollo Económicos(OCDE) para laProtección de losConsumidoresen el Contexto del Comercio Electrónico y en loparticular, con la Ley Federal de Protección alConsumidor (LFPC). De esta forma se ubicanprácticas potencialmente engañosas, injustas ofraudulentas para los consumidores.
Por lo anterior, este día es dedicado a buscarexhaustivamente páginas web con lascaracterísticas mencionadas y así contar conuna lista de sitios sospechosos sobre los que sepuedan emprender acciones para minimizar elimpacto negativo hacia los consumidores.
La Red Internacional de Protección alConsumidor y Aplicación de la Ley (ICPEN, porsus siglas en inglés) es una organizacióncompuesta por las autoridades de protecciónal consumidor de aproximadamente 40 países.Su objetivo es facil i tar las acciones decooperación internacional para combatir lasprácticas de comercio transfronterizo quepuedan afectar a los consumidores.
El ICPEN propuso que el Sweep Day de esteaño, que se realizó en la semana del 1 7 al 21de septiembre de 201 2, se centre en el tema“¿Qué compré? Identificando la divulgación deinformación engañosa e inadecuada en losmundos en línea y móvil”.
La Procuraduría Federal del Consumidor(PROFECO), al ser miembro activo de laICPEN, participa en este ejercicio desde 2003contando en diversas ocasiones con el apoyodeotras instituciones. Unadeellases laDGTIC-
Lic. Tonatihu Sánchez Neri
UNAMCERT
UNAM a través de la Subdirección de Seguridadde la Información/UNAM-CERT.
El ejercicio realizado por UNAM-CERT de laDGTIC-UNAM consistió en la búsqueda demensajes de correo electrónico con temáticasde venta de servicios y productos en línea. Labúsqueda se centró en 81 ,626 correosconsiderados como spam dirigidos a usuariosdel correo unam.mx del 1 8 al 21 de septiembredel 201 2.
Acontinuación senumeran lospasos realizados:
1 . Se realizó un conteo del número de mensajesen los que aparecía cada “asunto” (subject) de
correo y se generó una lista ordenadadescendentemente conforme a la cantidad demensajes.2. De la l istaanteriorse seleccionaron losasuntosrelacionados con ofertas, venta de productos oservicios y publicidad en general.3. Se hizo una revisión de un mensaje por cadaasunto seleccionado en el punto anterior y serealizó una nueva lista con los que conteníanpublicidad engañosa.4. Tomando en cuentaestos últimos, en el cuerpodel mensaje se buscaron enlaces a sitios deventade productos yservicios que representaranun riesgo para el usuario.
5. En los enlaces obtenidos en el punto anteriorse hizo un conteo de los dominiosmás comunes.6. Finalmente, se realizó una estadística de lospaíses de donde provenían los mensajesanalizados.
Resultados
La siguiente tabla muestra un extracto de losasuntos seleccionados en el punto 2 deldesarrollo: (Figura 1 )
Se muestra un extracto de los asuntosseleccionados en el punto 3 del desarrollo en lasiguiente tabla: (Figura 2)Por cada asunto se revisó el cuerpo del mensaje,
identificando aquellos que contenían enlaces asitios con publicidad engañosa.
Tomando en cuenta los sitios a los que se dirigía
Fig. 1 . Lista asuntos relacionados con ofertas, venta de productos o servicios y publicidad en general
Fig. 2. Lista de sitios con publicidad engañosa
1 5
UNAMCERT
al usuario en los mensajes con publicidadengañosa, sepresentaacontinuación un listadode los dominios más numerosos:
Cabedestacarque lamayoríade sitios visitadosresultaron ser sobre venta de medicamentosen línea, además de sitios que dirigen a losusuarios a encuestas con la promesa de queel usuario podrá “ganar” productos de moda.Con los datos anteriores obtenemos el
porcentaje de mensajes que se identificaroncomo engañosos para los usuarios, como lomuestra el siguiente gráfico:
Respecto al origen de los mensajes, el gráficosiguiente muestra los 1 0 países de los queprovienen más mensajes:
Los resultados del gráfico anterior soninteresantes ya que, aunque era de esperarseque India y Estados Unidos aparecieran entre losprimeros lugares, sorprende la aparición depaíses como España y Alemania.
En un ejercicio de limpieza como el descrito eneste artículo, se buscan identificar sitios enInternet que representen la posibi l idad de que elconsumidor sea defraudado, ya sea porque lascondiciones de venta no sean muy claras o los
Gráfico 1 . Porcentaje de mensajes de publicidad válida y publicidad
engañosa
Gráfico 2. Países donde se originan más mensajes de publicidad
engañosa
Gráfico 1 . Listado de dominios con publicidad engañosa
1 6
UNAMCERT
productos ofrecidos, aunque pretendan ser demarca, sean de mala calidad al serfalsificaciones.
Este tipo de análisis nos permite observar queel spam juega un rol primordial para llegar a losposibles consumidores, a pesar decaracterizarse por ser “no deseado”, el éxito delos spammers proviene del hecho de que laspersonas ceden a la tentación de comprar aprecio rebajadoproductoscomoViagra, unRolexfalso o en general productos con descuento queno podrían permitirse de otra manera. Respectoal producto recibido, éste puede funcionar o no,pero la mayoría de las veces corresponde alproducto mostrado en el correo o en el sitio web.El spam se vuelve así un punto al cual poneratención para combatir las prácticas engañosasdel comercio en línea.
Referencias:
https://icpen.org/
http://www.seguridad.unam.mx/noticia/?noti=300
http://www.seguridad.unam.mx/noticia/?noti=391
1 7
UNAMCERT
El incremento en el uso de tecnologías móvilesha creado un aumento en el interés en protocolosde redes inalámbricas, atención que también seha manifestado en el desarrollo de nuevosataques y en el descubrimiento devulnerabil idades. Con el aumento de latecnología inalámbrica, crece tambiénel atractivoante individuos malintencionados que buscanobtener información sin autorización paramodificar el buen funcionamiento de losdispositivos.
El objetivo de este artículo, es informar al lectorsobre la protección de la información transmitidamediante estas tecnologías inalámbricas y sudisponibi l idad, buscando también unacercamiento a la explicación de diversastécnicas de explotación complementarias alartículo divulgado en la edición 1 1 de esta revista
,en donde se habla de la obtención decredenciales mediante ataques sobre losprotocolos de cifrado WPA/WPA2 o WEP.
Dado que la tecnología inalámbrica sobrepasalos límites físicos, en ocasiones, resulta difíci lcumplir por completo con la triada de seguridad(confidencial idad, integridad y disponibi l idad).Independientemente de una buenaconfiguración, como lo podría ser WPA-Enterprise con el servidor RADIUS, existenriesgos inherentes a la tecnología; pormencionaralgunos, ataques de denegación o degradaciónde servicio a Access Points (AP) o clientes, o laexistencia de Rogue Access Points (AP falsos)que podrían tener como consecuencia el robo decredenciales y certificados para posteriormenteingresar de manera no autorizada a la red.
El nuevo paradigma de seguridad en redesinalámbricasIng. Erika Gladys De León Guerrero
1 8
UNAMCERT
este tipo cuenta con todos los servicioshabil i tados (HTTP, SNMP, etc. ) y es máspeligroso ya que el intruso puede tener accesoen un rango más amplio.
2. Wireless router conectado vía una interfazuntrusted: Se encuentra del lado untrusted oexterno del firewall o del router. Por lo generalcuenta con pocos servicios por lo que hace difíci lsu detección en la red.
3. Instalación de una tarjeta inalámbrica enun dispositivo conectado en la trusted LAN:Aunque se requiere acceso físico, se podríainstalar una tarjeta inalámbrica y configurarlacomo Access Point. La mayoría de los chipsets,dispositivos y sistemas operativos actualespermiten realizar esta función.
4. Activación inalámbrica en un dispositivoya existente conectado en la trusted LAN: Esel mismo caso que el anterior, con la diferenciade que aquí se emplea la infraestructurainalámbrica ya existente en el dispositivo, lo quefacil i ta el ejercicio. Un ejemplo para la ejecuciónde este tipo de técnica de explotación es laherramienta airbase-ng combinada conkarmetasploit (Figura 1 y 2).
Karmetasploit es un plugin de metasploit, queusado junto con airbase-ng, permite crear unared falsa y abierta para incitar a la conexión delos clientes que quieren obtener Internet gratis.Tras conectarse, ejecuta una serie de técnicasque podrían robar las cookies, obtenercontraseñas de distintas aplicaciones y, si elsistema operativo tiene alguna vulnerabil idad,trata de explotarla y obtener un shell .
-P El AP falso responde todas las pruebas sinimportar el ESSID especificado-C 30 Enviará beacons de prueba durante 30segundos.-e "test" Se especifica el nombre de la red-v modo verbosemon0 interfaz inalámbrica en modo monitor
En la Figura 1 únicamente se está creando elAP falso abierto.
La inadecuada configuración y el cifradovulnerable son comúnmente relacionados conproblemas de seguridad de tecnologíasinalámbricas, con los que frecuentemente seadquieren los servicios de Internet inalámbrico.Sin embargo, no todos los problemas deseguridad se solucionan con una configuraciónadecuada.
La problemáticaRogue Access Point o Evil Twin
Se define como un Access Point (AP) noautorizado que puede estar conectado a la redcableada de una institución , denominándoloRogue Access Point interno, siendoadministrado por alguien ajeno al rol autorizado.Tiene la característica de no cumplir con laspolíticas organizacionales y por lo generalpermiten el acceso a cualquier usuario sincredenciales.
Existe otro tipo, Rogue Access Point externo,que no está conectado a la red cableada de laorganización, sin embargo, emula un dispositivoauténtico. Este ataque es muy simple, ya quebasta con configurar un Access Point con lasmismas características del dispositivo genuino,incluyendo ESSID (Extended Service SetIDentifier o nombre de la red) y característicasde cifrado. Uniendo a esto un incremento de laintensidad de la señal, se provocaría que losclientessoliciten autenticación al dispositivo falsohaciendo posible ejecutar otros ataques queincluyen la obtención de credenciales, monitoreono autorizado de la red, robo de cookies entreotros. Este problema es ocasionado debido afallas en el protocolo de autenticación AccessPoint - cl iente, ya que se presenta en usa solavía, es decir, el AP autentica al cl iente, pero elcl iente no verifica la autenticidad del AP.
Tenable Security define los siguientes tipos deRogue Access Point :
1 . Wireless router conectado vía una interfaztrusted: el Access Point es conectado en algúnlugar confiable de la red interna, generalmentehabil i tando DHCP, acción que puede causarconfl icto con el DHCP interno. Por lo general,
1 9
UNAMCERT
En la figura 2, se muestra la ejecución dekarmetasploit, que realiza la captura deinformación y ejecuta las técnicas de explotaciónhacia los clientes conectados. Lo único que restaes esperar la conexión de un cliente paraalmacenar su información.
MAC address spoofing
Un Access Point podría ser configurado parapermitir el acceso solamente a las direccionesMAC almacenadas en una lista, sin embargo, unatacante podría modificar esta dirección con la
intención de obtener acceso, es posible realizareste tipo de técnicas con herramientas comoWin7 MAC Address Changer. (Figura 3)
Denegación de Servicio (DoS)
Un ataque de denegación de servicio ocurrecuandounAccessPointnopuedebrindarservicioa clientes autorizados, debido a una inundaciónde peticiones de clientes no autorizados. Existendistintas variantes:Jamming: generar señales aleatorias enfrecuencias específicas.Inundación con asociaciones: El AP tiene unatabla de asociaciones que cuenta con un númerolimitado de entradas, si se llena esta tabla, eldispositivo no puede atender más solicitudes deasociación.
Disociación provocada: El atacante envíatramas de disociación falsas con direccionesMACmodificadas, el cl iente puede enviar tramasde autenticación y regresar al estado anterior,pero el atacante puede continuar enviandotramas de disociación por un periodo, evitandola re-asociación.
De-autenticación provocada: Este ataque essimilar al anterior, pero enviando tramas de de-
Figura 1 . AP falso
Figura 2. Karmetasploit
Figura 3. MAC Address Change
Figura 4. DoS De-autenticación
20
UNAMCERT
autenticación (Figura 4). El ataque puede irdirigido a un cliente en específico o a todos losclientes asociados al AP.
En la imagen se muestra el uso de aireplay-ngpara enviar tramas de de-autenticación donde:
-0: enviar tramas de de-autenticación.-a: dirección MAC del AP-c: dirección MAC del cl iente asociadomon0: interfaz
La solución
Una vez analizado el problema, es fácilcomprender la naturaleza de la solución, que síbien puede disminuir el riesgo la aplicación debuenas prácticas de seguridad, no lo elimina porcompleto.
Existen soluciones especificas para redesinalámbricas que permiten la detección ycorrección de algunos de los problemas antesmencionados, son nombradosWireless IntrusionPrevention System (WIPS), trabajan de manerasimilar a in IPS (Intrusion Prevention System)tradicional, solo que enfocado a redesinalámbricas.
Hay que saber distinguir entre WIDS (WirelessIntrusion Detection System) y WIPS, así comoocurrecon losdispositivos tradicionales, unWIDSsolamente realiza la detección de problemas deseguridad mientras que un WIPS realiza ladetección y mitiga al mismo tiempo, es decir,toma acciones con respecto a políticaspreviamente creadas.
La arquitectura típica de un WIPS tiene lossiguientes elementos:
Sensores: Monitorean y realizan la captura dela actividad.Servidores de administración: Analizan lainformación enviada por los sensores.Servidor de base de datos: Almacena loseventos generados por el servidor deadministración.Consola: Es la interfaz para la administracióndel sistema.
Los sensores se deben distribuir con base en eltiempo para monitorear los distintos canales porun determinado periodo, por lo que seríanecesario el uso de múltiples sensores o bien,de sensoresespecialespara realizarel monitoreopermanente de todos los canales.
Probablemente, lo primero que llega a la mentecuando se habla de este tipo de tecnologías esel factor económico, sin embargo, existensoluciones de software libre que podrían ayudara resolver los mismos problemas.
Por parte de las opciones de software libre, existeopenwips-ng creado por el autor de la suiteaircrack-ng (Thomas d´Otreppe de Bouvette,quien expuso su proyecto en el Congreso deSeguridad en Cómputo 201 1 ), es un sistema dedetección y mitigación segmentado en módulos(sensor, servidor e interfaz), actualmente está enconstrucción, sin embargo, ya hay una versiónbeta disponible. Para mayor información sepuede recurrir a http://openwips-ng.org/.
Como parte de las ponencias del Congreso deSeguridad en Computo 201 1 , se expuso conmayor detalle el desarrollo y funcionamiento deun WIPS de creación propia , desarrollado conapoyo de la suite airckrack-ng, el cual se basaen el monitoreo y análisis de tramas con laintención de encontrar comportamientosmaliciosos, el cual toma acciones con respectoal tipo de ataque detectado.
Deacuerdoal cuadrantedeGartnerdesolucionescomerciales WIPS, se tienen las siguientesopciones marcadas como líderes en ordenalfabético:
• AirTight Networks• Aruba Networks• Cisco• Fluke Networks• Motorola
Los criterios de evaluación principales fueron lossiguientes:
Experiencia del cliente: Simplicidad,flexibi l idad, capacidades de operación ysoporte.
21
UNAMCERT
1http://revista.seguridad.unam.mx/sites/revista.segurida
d.unam.mx/files/revistas/pdf/Seguridad_Num_11_0.pdf
2 Fuente airtight networks
http://www.rogueap.com/rogue-ap-docs/RogueAP-
FAQ.pdf
3 Teneable Security es considerada una compañía líder
en materia de seguridad creadora de Nessus
Vulnerability scanner, una de las herramientas más
importantes para escaneo de vulnerabilidades.
http://blog.tenablesecurity.com/2009/08/using-nessus-
to-discover-rogue-access-points.html
4 http://www.metasploit.com/dev/trac/wiki/Karmetasploit
5http://congreso.seguridad.unam.mx/2011/memorias/file
s/s_ThomasdOtreppe.pdf
6http://congreso.seguridad.unam.mx/2011/memorias/po
nencias.dsc
Viabilidad integral: Financiera, estratégica,organizacional, de negocio.
Producto/servicio: Amplitud de características,capacidades de detección y prevención,integración, monitoreo, reporte.
Las capacidades generales de este tipo dedispositivos son las siguientes:
• Identificación de tráfico malicioso en el aire• Detección de Rogue Access Point• Identificación física de dispositivos WiFivulnerables
• Protección de ataques de fragmentación• Detección de ataques de de-autenticación• Detección y bloqueo de clientes no autorizados• Detección y bloqueo de conexión de clientesconfiables a redes externas
• Detección y bloqueo de conexión sinautorización de dispositivos móviles
• Adaptación a políticas organizacionales• Deteccióndeconfiguración inadecuadadelared• Detección de patrones de uso inusual• Detección de escaneo activo de redesinalámbricas
• Detección ybloqueo deataquesde de-negaciónde servicios
• Detección y bloqueo de ataques de hombre enmedio(MitM)
El uso de redes inalámbricas implica riesgosinherentes a la tecnología que no sonsolucionados con la aplicación de buenasprácticas de seguridad, por lo que surge lanecesidad de dispositivos WIPS que ayudan adisminuirel riesgoyaeliminarloenalgunoscasos.A pesar de que no existe una amplia gama dedispositivos de este tipo, hay buenas opciones alas que es posible recurrir.
Referencias
•Katrin Hoeper and Lily Chen. NIST SpecialPublication 800-1 20. Recommendation for EAPMethods Used in Wireless Network AccessAuthentication. 2009.•sitio Openwips-ng http://openwips-ng.org/
•Karen Scarfone, PeterMell , NIST 800-94, Guideto Intrusion Detection and Prevention Systems(IDPS), Feb 2007•Ken Hutchiunson, Wireless Intrusion DetectionSystems, SANS Institute, October 2004.
22
UNAMCERT
Riesgo tecnológico y su impacto paralas organizaciones parte II Gobierno deTI y riesgos
Palabras clave:COBIT, gestión de riesgos, gobiernode TI, métricas para riesgos.En el artículo anterior, se habló del origen delriesgo tecnológico, de cómo afecta a lasorganizaciones y las medidas que pueden sertomadasparamitigarlo; ademásde trataralgunoscasos reales sobre cómo el riesgo tecnológicoes fuente de otro tipo de riesgos.
En la presente entrega, se abarca el riesgotecnológico dentro del gobierno de TI, haciendoreferencia al marco COBIT para indicar laimportancia de su trato como riesgo fuera delámbito estricto del riesgo operativo.
Papel dentro del gobierno de TI
Cuando se habla de tecnología y de mantenerla seguridad sobre ésta, fáci lmente se piensa entérminos de protección física, lógica y protecciónsobre los sistemas y equipos. Solo al final setrata lo referente a medidas técnicas. Sinembargo, esta seguridad es limitada y debe serrespaldada por una gestión y procedimientosadecuados; de aquí la importancia de alinearestas medidas con las estrategias del negocio.
A partir de esto, aparece el concepto degobernanza de TI o gobierno de TI (GTI), quebusca la alineación de las tecnologías de lainformación y las comunicaciones con lasestrategiasdel negocio. Deestaforma, seaplicanlas mejores prácticas de administración con elfin de ayudar en la toma de decisiones, mientrasse proporciona el mejor uso de la tecnología.
Ing. Alexandra Ramírez CastroI
23
UNAMCERT
Por ello, el gobierno de TI tiene como objetivoentender la importancia estratégica de TI paramantener las operaciones e implementar lasactividades que se requieran a futuro.
Este gobierno integra procesos y recursos de TIcon la información de las estrategias y objetivosde la organización, la finalidad es alcanzar estosobjetivos añadiendo valor al negocio con eldebido equil ibrio sobre los riesgos y el retornode inversión sobre TI y sus procesos.
En el año 1 996, la asociación ISACA (InformationSystems Audit and Contol Association,Asociación de Auditoría y Control en Sistemasde Información) teniendo en cuenta que elgobierno de TI requería un marco de referenciapara lograr los fines expuestos, lanzó COBIT(Control Objetives for Information and RelatedTechnologies, Control de Objetivos paraInformación y Tecnologías Relacionadas) queofrecía principios para gestionar la tecnologíadentro del gobierno de TI.
El marco de trabajo de COBIT, en su versión 4.1 ,brinda buenas prácticas a través del manejo dedominios y procesos, con el cual se plantean losobjetivos de control para la información y
tecnología relacionada que permita a lasorganizaciones mantener vigi lancia respecto alos requerimientos del negocio y gestionar losrecursos de tecnología. De esta forma, se buscaalinear lasmetas organizacionales con lasmetasde TI.
Así, dentro del dominio, planeación yorganización, el proceso PO9 hace referencia ala evaluación y administración de los riesgos deTI, dondesebuscadocumentarenunnivel comúny acordado, estrategias de mitigación y riesgosresiduales de acuerdo a los límites definidos porlas directivas. La idea es identificar, analizar yevaluar impactos potenciales sobre las metas dela organización. Al aplicar esto, se logragarantizar que la administración de riesgos seincluye dentro de todos los procesosadministrativos y se establecen planes de acciónpara la mitigación, teniendo en cuenta lasrecomendaciones de todos los nivelesorganizacionales y la divulgación sobre losmismos.
Para la última versión de COBIT 5, generadaeste año, se toma la gestión de riesgos como unobjetivo de gobernanzapara la creación de valor,buscando la optimización de riesgos, haciendoel mapeo de estos junto a la optimización de
24
UNAMCERT
recursos y el realce de beneficios a las metasorganizacionales de información y tecnología.La finalidad es cumplir con procesos, capacidaden servicios, habil idades, competencias,principios y políticas, información, estructuraorganizacional, además del ambiente ético ycultural requerido .
Esta versión de COBIT dentro del dominio APO(alineación, planeación yorganización), contieneun proceso de riesgos APO1 2 (gestión delriesgo), en el cual se integra la gestión de riesgosempresariales relacionados con tecnología, conla evaluación, dirección y monitoreo (EDM) dela organización. Además tiene un enfoque en losriesgos de los terceros.
Para lograr esta gestión, se requiere contar conlos planes estratégicos y tácticos de TI, junto alportafol io de servicios, los planes de riesgos a
nivel de proyecto, riesgos asociados a losproveedores, resultados de pruebas decontingencia e histórico de riesgos. Con esto, loque se busca es la definición de planes deacciones correctivas para riesgos de TI y ladefinición de directrices de administración quepuedan surgir de la evaluación de riesgos. Elobjetivo es llegar a una administración de nivelóptimo en donde se ve la implantación de lagestión de riesgos en toda la organización, bajo
una buena administración. Con todas lasmedidas de buenas prácticas, procesosautomatizados y la debida revisión y mejoracontinua por parte de las directivas.
Es importante definir algunas premisas cuandose gestionan riesgos, sin importar si son de tipotecnológico u otros y cuando se habla deimplementarmedidas de seguridad dentro de lasorganizaciones. Dentro de estas están:
•Apoyoyaval de laaltagerenciaoadministración.Sinestonotienesentidoelproyectodeseguridad.• Definición de los responsables del desarrollo,implantación y gestión de las medidasacordadas.• Alineación de las medidas definidas con losobjetivos y la cultura organizacional. Al igual quecon las definiciones de procesos de seguridad ygestión de riesgos a otros niveles, se realiza con
el fin de encontrar un marco general e integralque dicte los principios y normas de la gestiónpara toda la organización.• Procesos de comunicación y retroalimentaciónbien definidos que permitan el flujo adecuadopara realizar la gestión.• Mantenimiento y mejora continua de la gestiónpara realizar ajustes y cambios pertinentes enlos momentos idóneos. Esta gestión deberealizarse mediante la medición, dado que es laúnica forma de confirmar el funcionamiento e
25
UNAMCERT
1 El valor al negocio puede interpretarse desde diferentes
perspectivas: es aquello que le puede retribuir algún tipo
de beneficio o ganancia a la organización; puede ser en
términos económicos, capital intelectual, imagen, entre
otros.
2 Para mayor información sobre el nuevo marco de
COBIT http://www.isaca.org/COBIT/Pages/default.aspx
y http://www.slideshare.net/CarlosFrancavilla/cobit-5-
comparacion-con-cobit-41
3 Para mayor información sobre el proceso de
desarrollo de métricas consultar NIST SP-800-55
4 Plantea 6 niveles de madurez (de 0 a 5) desde no
existente a optimizado.
5 Requerimientos para implantación de un sistema de
seguridad de la información ISO 27001 y buenas
prácticas para implantación de controles ISO 27002.
implantar medidas para mejorar. Por lo anterior,el uso de métricas es relevante. La idea esrecolectar, analizar y reportar datos dedesempeño relevantes.
Por ejemplo, pueden usarse factores como elporcentaje de riesgosmitigados de una auditoríaa la anterior, número de unidades de negocio enlas cuales se han identificado riesgos, controlesdefinidos por unidad, asignación de recursos porunidad de negocio proporcionales a la gananciao riesgo, entre otras; y con ello definir accionesdemejora yacciones correctivas. De igual forma,las métricas definidas pueden definirse en trestipos: métricas de impacto, métricas deefectividad o eficiencia y métricas para medir laimplantación de medidas . Para verificar ocomparar la efectividad de la gestión de riesgosy seguridad puede tomarse como referencia elmodelo de madurez de COBIT , a través delproceso de certificación en ISO 27000 yrevisando la norma ISO 27004, que trata sobremétricas y medidas.
Concluyendo, la gestión de riesgos tecnológicosen la actualidad, dada la masificación de latecnología en las sociedades y todo lo referentea la sociedad de la información, nos implicabrindar mayor atención a los riesgostecnológicos. Más allá de las medidas técnicasque se tomen para su mitigación, hacerlo desdela gestión misma a nivel directivo, con la finalidadde no hacer de ésta, un simple medio o unabarreraparalograrnivelesóptimosdeseguridad.
Para información adicional sobre el riesgotecnológico y su actuar en las sociedadesconsultar:
• Fi losofía de la tecnología yRiesgo Tecnológico.Una confrontación con los riesgos y lastecnologías:http://ecotropicos.saber.ula.ve/db/ssaber/Edocs/pubelectronicas/agoratruj i l lo/Agora8/ivan_mateos.pdf
•Riesgos de Origen Tecnológico: apuntesconceptuales para una definición,caracterización y reconocimiento de lasperspectivas de estudio del riesgo tecnológico:http://200.21 .1 04.25/lunazul/downloads/Lunazul29_9.pdf•World Economic Forum, Global Risks 201 2:
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_201 2.pdf
Referencias
[1 ] Instituto deGobierno deTI. COBIT4.1 . , Marcode Trabajo - Objetivos de control – DirectricesGenerales – Modelos de Madurez, 2007.[2] Instituto de Gobierno de TI. COBIT 5. ABusiness Framework for the governance andmanagement of enterprise IT, 201 2.[3] ISO (International Standard Organization).Estándar de Seguridad ISO/IEC 27002.Tecnología de la Información – código deprácticas para la gestión de la seguridad de lainformación, 2005[3] HARRIS, Shon, CISSP Certification ExamGuide, Tercera edición, McGraw-Hil l , 2005.
26
UNAMCERT
“Debes utilizar contraseñas seguras”Viejo mantra de seguridad
¿Cuántas veces hemos escuchado estarecomendación? Si has asistido a un curso, leídoartículos (incluso los de esta revista) o tal vezescuchado un poco del tema de la seguridadinformática, es casi seguro que has recibido esteconsejo más de una vez. Es una receta clásicaque como los consejos de la abuelita, son mássencil los de decir que de seguir.
Pues bien, no te preocupes más. La siguiente esuna sencil la guía de 3 pasos para que tuscontraseñas sean (y se mantengan) siempreseguras. Explicaré un poco la razón detrás deestas recomendaciones, algunos puntosadicionales a considerar y cómo, tomados enconjunto, te ayudarán a resistir la mayoría de losembates contra tu seguridad.
1. Nunca utilices datos personales paracrear tu contraseña
Recordemos que el propósito de las contraseñases evitar accesos indeseados, no queremos quecualquiera pueda leer nuestro correo, porejemplo. Si uti l izas información personal paracrear tu contraseña (tu calle y número o tu fechade nacimiento), estás aumentando laprobabil idad de que alguien la adivine, ya queesta información es 1 ) fácil de obtener, pero sobretodo 2) muy comúnmente uti l izada encontraseñas.
2. Una frase es mucho mejor que una'contraseña'
- Pero (me dirán), ¿voy a tener que uti l izar algocomo 'b&kqAp5H' de contraseña? ¡Nadie seacuerda de esas cosas!- (con cierta razón).
Password-fu: Guía fácil para contraseñasrealmente segurasSergio A. Becerril
27
UNAMCERT
Las supuestas contraseñas “seguras” son unejemplo de buenas intenciones y pésimosmétodos, porque los humanos no somosmáquinas. Una persona recuerda algo muchomejor si ese algo tiene sentido, una relación consu vida, etc. Después de todo, así funcionannuestros cerebros.
Lo que es más, esa contraseña no es tan seguracomo parece. Además del (muy real y muy
común) riesgo de serapuntadaen un post-it (algoasí como dejar las llaves de la casa colgadasafuera de la entrada) un atacante con los mediosapropiados la descubrirá en un santiamén.Específicamente, en 1 2 horas o menos .
¿Cuál es la solución entonces? Misugerencia: una frase de contraseña.
Consideremos la siguiente frase:
“Todos los días, gimnasio a las 8”
Tal vezespartede tu rutinadiariaoesunpropósitode año nuevo. Como sea, una buena parte deustedes se habrán identificado con esta frase. Yeso buscamos para no olvidarla. Ahora, ¿cómo
uti l izamos esto como contraseña? Muy sencil lo.Quita acentos, espacios y escribe:
Todoslosdias,gimnasioalas8
Sorprendentemente, esta contraseña es unmillón de cuatrillones de veces más seguraque la que escribí al principio de esta sección -algo así como comparar una caja fuerte con unacajita de papel-. El mismo atacante que vulnerónuestra contraseña anterior en 1 2 horas tardaría
miles, mil lones de años en encontrarla.Tiene suficiente relación con nuestra vida comopara recordarla fácilmente, pero no lo suficientepara que alguien la adivine.
Cadaquien tendrásu propia fuentede inspiraciónpara sus frases. Algunos uti l izan frases de libros;otros, refranes populares. Conviene evitar unafrase muy famosa; busca algo memorableúnicamente para ti . La clave es la longitud:mientras más larga, mejor. Con 5 o 6 palabrasusualmente basta. Esto lo discutimos a mayordetalle al final de este artículo, en la sección “eltamaño sí importa”.
Lamentablemente, habrá sitios que no tepermitirán contraseñas tan grandes
28
UNAMCERT
Img. 1 I lustración representativa
(Outlook.com, anteriormente conocido comoHotmail , es uno de los principales culpables). Mirecomendación: abandona el servicio, o quéjate.Si es imprescindible que uti l ices el servicio uti l izauna contraseña tan grande como te permita elsistema (en el caso de Outlook, el límite son 1 6caracteres), pero considera al servicio comotrascendentalmente inseguro.
3. Acomoda, rota y anota
¡Muy bien! Ya tenemos una guía para crearcontraseñas seguras, que además son fácilesde recordar. Sin embargo, nos falta atender elresto de las recomendaciones comunes:
“Nunca uti l ices la misma contraseña endiferentes sitios”“Debes cambiar tus contraseñasperiódicamente(e.g. cada año)”“Jamás apuntes tus contraseñas, mejormemorízalas”
Muchos expertos de seguridad me odiarán porlo que diré a continuación, pero la realidad esque puedes ignorarestas recomendaciones bajociertas circunstancias. Para ello, hay queentender qué se pretende con cada una y cómopodemosresolvercadaproblemacon unenfoquediferente.
La razón por la cual se sugiere uti l izar siempreuna contraseña diferente es que, si un atacantelograobteneraccesoaun servicio, podráobteneraccesoaotros sinmayoresfuerzo. En ocasiones,¡ no importa si tu contraseña es segura! Esto esporque a veces los atacantes logran vulnerar laseguridad de los proveedores y obtener accesoatodas lascontraseñas. Unejemploesel recienteataque a LinkedIn (junio 201 2), donde lascontraseñas demás de seismil lones de usuariosde la red social fueron publicadas en Internet.
Aunque aquí la culpa yace en el proveedor, comousuarios podemos minimizar el riesgo. Uti l izardiferentes contraseñas hace justamente eso,porque garantiza que, aunque un atacante logretener acceso a uno de tus servicios, no llegarámás lejos .
Cambiar periódicamente las contraseñas sirvea un propósito similar: no importa qué tan bueno
sea un atacante, si cambias el objetivo (i .e. tucontraseña) regularmente, frustrarás susintentos por vulnerar tu seguridad.
Finalmente, evitar apuntar las contraseñas es larecomendación más sencil la de entender: evitaque alguien (accidentalmente o a propósito)obtenga tus credenciales con mínimo esfuerzo.
¿Cómo le damos la vuelta a esto? El primer pasoes acomodar. Debes acomodar todos losservicios que uti l ices con base a dos preguntas:¿Contiene información crítica? ¿Es unapuerta para otro servicio?La primera solo tú la puedes responder. Cadaquien tendrá su definición de información crítica,aunque generalmente te diría que es algo queno puedes arriesgarte a perder (como tusdeclaraciones de impuestos) o a publicar (comotus correos privados). Recuerda que tu identidadtambién es muy valiosa. Considera, ¿qué podríalograr un atacante que obtuviera acceso a tucuenta de Facebook, por ejemplo?
La segunda es más difíci l de contestar. Enesencia, una “puerta” es aquella cosa que tepuede brindar acceso a otro servicio. El ejemploclásico es tu cuenta de correo electrónico. ¿Porqué? Tu cuenta de correo electrónico se uti l iza,entre otras cosas, para la recuperación de
29
UNAMCERT
contraseñas de, probablemente, todos losdemás servicios. Los atacantes saben esto y poreso consideran tu cuenta de correo uno de lospremios más jugosos por obtener. Deberásbuscar esas puertas y anotarlas.
Unavezquehayashechoesto, podrásacomodartus servicios respecto a su importancia. En micaso (Imagen 1 ):
Al centroestámi serviciomáspreciado:mi cuentade correo principal. Tiene información crítica yes puerta para el resto de mis servicios.Ligeramente menos importantes son misaccesos a mis redes sociales, mi banco y miservicio de compras en línea (no son “puertas”,pero sí tienen información crítica). Finalmente,mis servicios menos críticos (Netfl ix, WordpressySkype) están en el menor nivel de importancia.
Una vez acomodados tus servicios, puedes“rotar”.Piensa en cada “nivel” de tus servicios como unmundo en sí mismo. Dentro de ese nivel, nodebes repetir contraseñas y debes cambiarlasperiódicamente. Pero, en vez de crear nuevascontraseñas cada que quieras cambiar tusservicios, puedes rotarlas. En mi caso, tengo 4contraseñas diferentes en el segundo nivel.Cuando llega lahoradecambiarlas, simplementeroto: la contraseña de Twitter se convierte en lacontraseña de mi banco, la contraseña de eBayen la contraseña de Twitter, etc.
También puedes rotar entre niveles, de arribahacia abajo. ¿A qué me refiero? Cuando llegala hora de cambiar la contraseña de la cuentade correo, es evidente que debo crearuna nuevacontraseña (después de todo, es mi servicio mássensible –debo sermás cuidadoso). ¿Qué hacercon la contraseña anterior? ¡Puedo rotarla haciaabajo! Digamos, a mi Facebook. Esto causaríaque una contraseña de este nivel rotara haciaabajo y así sucesivamente.
De estamanera, mis contraseñas tienen un largotiempo de vida (¡ varios años!), lo que facil i ta sumemorización, sin que esto haga que misservicios sean más inseguros. Por supuesto, enel momento que descubra que algún servicio hasido vulnerado, esa contraseña desaparece
completamente de la rotación.Aún así nos queda un reto: recordar quécontraseña le toca a qué servicio. El famoso“post-it de la muerte” puede aquí ser uti l izado anuestro favor. ¿Por qué? Pues porque si uti l izasfrasesdecontraseña, puedesanotar referenciasa las frases, en vez de las contraseñas en sí. Porejemplo, uti l izando nuestra frase de contraseña(Todoslosdias,gimnasioalas8) podríamosanotar algo como: correo – gimnasio.
Para un atacante, esto tiene poca uti l idad – lasola presencia de la palabra gimnasio no ayudamucho, porque no es la contraseña en sí. Sinembargo, para ti cumple su propósito – te permiterecordar fácilmente que, si quieres ingresar a tucorreo, debesuti l izarlafrasequeuti l izagimnasio.
Suena cansado y difíci l , pero recuerda que sonsolo tres fases:
a) ACOMODA tus cuentas en niveles deimportanciab) ROTA las contraseñas dentro de su mismonivel o hacia abajoc) ANOTA las referencias entre servicios ycontraseñas
Solo para mecanógrafos:¡desplaza tus manos!
Si eres mecanógrafo (es decir, que puedesescribir sin ver el teclado), este tip es para ti . Estremendamente sencil lo: desplaza tus manosuno o más lugares hacia la izquierda, derecha,arriba o abajo.
Por ejemplo, desplazando mis manos un lugarhacia arriba, puedo lograr que la contraseña querealizamos anteriormente:
Todoslosdias,gimnasioalas8Se transforme en algo como esto:
%9e9wo9we8qwkt8jhqw89qoqw8
¡ Inténtalo con tus propias contraseñas!
30
UNAMCERT
Y ahora... ¿qué sigue?
Siguiendo los tips anteriores, podrás memorizarmás fácil tus contraseñas sin sacrificar nada entérminos de seguridad. Estas ideas me hanservido bien por más de 1 0 años y confío que lasencontrarás úti les en el manejo de tuscredenciales.
Un último consejo: todo esto es irrelevante si elsitio o sistema que uti l iza tu contraseña esinseguro. Desconfía de sitios web que no uti l icenhttps (busca un candadito en tu barra dedirecciones; a veces es color verde, pero nuncadebe ser color rojo) para procesar tus datos deinicio de sesión. Desconfía más de sitios que tepiden contraseñas de tamaño pequeño. Si tienesdudas, uti l iza una contraseña “desechable”.Sobre todo, ejerce tu sentido común. Es buenconsejo para cualquier reto en la vida.
Anexo. El tamaño sí importa
Constantemente nos indican que nuestracontraseña debe contener caracteres especiales(como símbolos), además de letras mayúsculas,minúsculas y números. Esto se conoce como lacomplejidad de la contraseña y se puede calcularfácilmente.Pensemos como un atacante. Si queremosadivinar una contraseña por fuerza bruta(probando sucesivamente cada posibilidad de
contraseña), primero debemos definir el espacioo el universo de posibilidades. Supongamos quesabemos que las contraseñas requieren letras(mayúsculas y minúsculas), números ycaracteres especiales. Por lo tanto, nuestrouniverso se compone de:26 (letras minúsculas)26 (letras mayúsculas)10 (dígitos)10 (símbolos – aquí estoy suponiendo, cadaquien podrá dar un número diferente).Entonces, la complejidad de esta contraseña noes más que la suma de estos números: 72.Asombrosamente, el tamaño (o longitud de lacontraseña) es más importante que sucomplejidad. Si te interesan las matemáticasdetrás de esto, te bastará saber que la fórmulade la “fortaleza” de una contraseña se puededefinir por la siguiente expresión:complejidad longitud
Es fácil notar que la longitud es más importante.Consideremos dos ejemplos: una contraseñatradicional, como 'b&kqAp5H' y una frase decontraseña: 'muypequeña'. La fortaleza de laprimera es 728 y la de la segunda 2611. A pesarde que nuestra frase de contraseña es muypequeña (11 caracteres) y que solo contieneletras minúsculas, su fortaleza es 5 vecessuperior a la contraseña tradicional. Siagregamos una sola letra a la frase, la hacemos
31
UNAMCERT
132 veces más fuerte a ataques de fuerza bruta.¿Dos letras más? 3,435 veces más fuerte.Noestoyargumentadoquelacomplejidadesinútil(después de todo, es la mitad de la fórmula).Además, es probable que al crear tu contraseñate exijan utilizar letras mayúsculas, dígitos ysímbolos. Mi recomendación es que no tepreocupes por hacer tu contraseña algo muycomplejo;comohasvisto,teconvienemáshacerlamás grande.
1 Para más información consulta el apartado “El tamaño
sí importa” al final de este artículo.
2 Esto no es 100% correcto: sugiero leer sobre el
ataque contra el escritor de la revista electrónica Wired,
Mat Honan.
32
UNAMCERT
Revista .Seguridad Cultura de prevención para TI
No.1 5 / noviembre-diciembre 201 2 ISSN: 1 251 478, 1 251 477