martes, 3 de abril de 2012


Al abordar el tema de Seguridad Informática, se debe tener muy en claro que no existe una seguridad en términos absolutos. Sólo se pueden reducir las oportunidades de que un sistema sea comprometido o minimizar la duración y daños provocados a raíz de un ataque.
Al tratar el asunto, se está considerando que se encuentran en riesgo tres elementos:


a) Los datos: información guardada en las computadoras.
Ellos tienen tres características a proteger:
•Confidencialidad
•Integridad
•Disponibilidad



b) Los recursos: el equipamiento en sí mismo
c) La reputación


Una de las actividades iniciales es el Análisis de riesgos, para lo cual, se debe realizar un modelado de amenazas. Se trata de una actividad de carácter recurrente.
Un riesgo es una combinación de activos, vulnerabilidades y atacantes.


Elementos

  • Lo que se quiere proteger: los activos
  • Objetivos de seguridad: niveles y tipos de protección que requiere cada activo.
  • Confidencialidad de los datos: se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
  • Integridad de datos y sistemas: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
  • Disponibilidad del sistema/red: se garantiza que las personas usuarias autorizadas tengan acceso a la información y recursos relacionados con la misma toda vez que se requiera.
  • Estrategias generales para minimizar los ataques
  • Observar el principio del menor privilegio
  • Defensa a fondo o en profundidad
  • Redundancia: utilizar más de un mecanismo de seguridad
  • Punto de choque
  • Eslabón más débil
  • Postura de falla segura
  • Definición y uso de políticas y procedimientos
  • Mantenerse informado/actualizado
SERVIDORES



  • Ataques a servidores

Servidores Web: Utilización de vulnerabilidades conocidas que posibilitan ejecutar código arbitrario, acceso no autorizado a archivos o denegación de servicio (DoS).

  • Servicios de administración remota: Telnet, SSH, Microsoft Terminal Server.
  • Servicios de administración de contenidos: FTP, SSH/SCP, etc.
  • Servidores de Nombres: ataque al servidor, modificación de zonas, cache poisoning, etc.
  • Servidor de correo electrónico: intercepción de datos confidenciales; spam; propagación de virus, apropiación del servidor de correo para lanzar otros tipos de ataque, etc.
  • Servidor de bases de datos: problemas tales como compromiso del servidor (por ej. por desbordamientos de búfer); robo de datos; corrupción de datos o pérdida, denegación de servicio (DoS), etc.






Como protegerse.


Utilización de buenas prácticas:



  • Fortalecimiento (hardening) o aseguramiento de las instalaciones del sistema operativo
  • Deshabilitación de servicios y cuentas no utilizados
  • Administración remota segura. Cifrado del tráfico
  • Utilizar sistemas de búsqueda automática de vulnerabilidades: por ej. NESSUS
  • Actualizaciones del sistema operativo y aplicaciones (parches)
  • Utilización de herramientas que buscan y detectan problemas de seguridad; detectan intrusos y controlan cambios.
  • Análisis periódico de logs

RED


Como protegerse





  • Uso de arquitectura de red seguras: buen diseño de perímetros de redSeparar los sistemas que tienen un alto riegos de ser comprometidos: creación de zona desmilitarizada (DMZ), de arquitectura “fuerte”, con servidores fortalecidos y monitoreados.
  • Redundancia
  • Filtrado de paquetes incluso en enrutadores externos
  • Instalación de cortafuegos (firewalls) configurados cuidadosa y minuciosamente.
  • Atención y vigilancia continua y sistemática







APLICACIONES


Aplicaciones Web



  • Ataques a mecanismos de seguridad
  • Obtención de usuario y clave con diccionario o fuerza bruta

Como protegerse:





  • Utilización de contraseñas “fuertes”
  • Política de cambio frecuente de contraseñas
  • Mecanismos de deshabilitación temporal de la cuenta
  • Ataques a las aplicaciones (mal desarrolladas)
  • Ataques de entrada no validada. Por ej.: modificación de atributos enviados por el servidor, inyección de comandos SQL, inyección LDAP, explotación de Buffer overflow, Cross Site Scripting (XSS), etc.


Ingeniería Social


Es un conjunto de trucos, engaños o artimañas que permiten confundir a una persona para que entregue información confidencial, ya sea los datos necesarios para acceder a ésta o la forma de comprometer seriamente un sistema de seguridad.
Código Malicioso: virus, troyanos, gusanos, etc.
Programa de computadora escrito para producir inconvenientes, destrucción, o violar la política de seguridad


Buenas prácticas


Archivos adjuntos



  • No abrir archivos adjuntos de origen desconocido.
  • No abrir archivos adjuntos que no esperamos recibir, aunque nos parezca que su origen es conocido.
  • No abrir adjuntos que tengan extensiones ejecutables.
  • No abrir adjuntos que tengan más de una extensión.
  • Chequear con el remitente la razón por la cual nos envió un archivo adjunto.
  • Reenvío de correo electrónico
  • Borrar la/s dirección/es de correo del/los remitente/s
  • mejor aún: copiar el contenido del correo original y armar uno nuevo
  • Si se reenvía a más de una persona, utilizar la opción de enviar “Copia Oculta”
  • No ser un reenviador compulsivo de correos electrónicos

SPAM: mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas.




  • No dejar la dirección de correo electrónico en cualquier formulario o foro de Internet.
  • No responder correos no solicitados. Lo más seguro es borrarlos.
  • En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores.
  • Configurar filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones
  • Nunca configurar “respuesta automática” para los pedidos de acuse de recibo.
  • No responder a los pedidos de acuse de recibo de orígenes dudoso


Pishing: solicitud de datos confidenciales



  • Comunicarse telefónicamente con la Empresa, para confirmar el supuesto pedido.
  • Nunca enviar por correo información confidencial sin cifrar.
  • Verificar el origen del correo.
  • Verificar el destino de los enlaces.

Cadena de correo electrónico


Una de las herramientas que se utilizan comercialmente para obtener direcciones de correo electrónico y armar bases de datos con las mismas es armar cadenas de correos electrónicos.
Conforman también una oportunidad a los piratas informáticos, pues obtienen blancos reales a los que enviarles virus y todo tipo de software malicioso.
Hoax: engaño/broma.


Se presentan por ejemplo como:

  • Alertas sobre virus “incurables”
  • Mensajes de temática religiosa
  • Cadenas de solidaridad
  • Cadenas de la suerte
  • Leyendas urbanas
  • Métodos para hacerse millonario
  • Regalos de grandes compañías.







Amenazas Humanas


•Hacker
Personas que están siempre en una continua búsqueda de información, viven
para aprender y todo para ellos es un reto; no existen barreras. Son curiosos y
pacientes. Quieren aprender y satisfacer.




•Cracker
Un cracker, en realidad es un hacker cuyas intenciones van más allá de la
investigación. Es una persona que tiene fines maliciosos.




•Phreakers

Personas con un amplio (a veces mayor que los mismo empleados de las
compañías telefónicas) conocimiento en telefonía. Antecesor de hacking
ya que es mucho más antiguo. Comenzó en la década de los 60's cuando
Mark Bernay descubrió como aprovechar un error de seguridad de la
compañía Bell, el cual le permitió realizar llamadas gratuitas.













Amenazas Lógicas


Ingeniería social
Es el arte de manipular a las personas, con el fin de obtener información que
revele todo lo necesario para penetrar la seguridad de algún sistema. Esta
técnica es una de las más usadas a la hora de averiguar nombres de usuario y
contraseñas.


Scanning
Método de descubrir canales de comunicación susceptibles de ser explotados,
lleva en uso mucho tiempo. Se envía una serie de paquetes para varios
protocolos y se deduce que servicios están escuchando por las respuestas
recibidas o no recibidas.



Smurf o broadcast storm
Consiste en recolectar una seria de direcciones Broadcast ó proxys las
cuales realizaran peticiones PING a la máquina victima.




¿Confían en los antivirus los expertos en seguridad informática?


Según desvelan en la popular revista Wired, la mayoría de los expertos de seguridad que trabajan para empresas tecnológicas no utilizan antivirus ni recomiendan hacerlo


En la citada publicación tuvieron la oportunidad de hablar con profesionales del sector durante la celebración la semana pasada de la RSA Conference y llegaron a esas conclusiones.
Jeremiah Grossmanm, CTO de la empresa White Hat Security, asegura que una parte importante de los profesionales del campo de seguridad evitan el uso de programas antivirus, lo que han corroborado otros compañeros de profesión como Paul Carugati, de Motorola Solutions, o Dan Guido de Trail of Bits.
Según parece, esos profesionales consideran innecesario su uso ya que sus propios hábitos de navegación en internet evitan infecciones.
Básicamente, no visitan webs con contenidos maliciosos, no hacen click en enlaces no solicitados, ni tampoco abren archivos adjuntos de dudosa procedencia.
En ese sentido, los expertos prefieren ser precavidos en sus sesiones de navegación online antes que instalar un antivirus en sus equipos.


Google quiere probar la seguridad y estabilidad de su navegador Chrome dentro de la competencia Pwn2Own en la que Google ha participado por tres años y ha resultado invicto.
La idea es que a los que puedan vulnerar al navegador se les entregará 1 millón de dólares en diferentes categorías. Adicionalmente los hackers deberán entregar un informe detallado para explicar el exploit que usaron para detectar las vulnerabilidades en Chrome.
Las categorías en las que Google entregará dinero son:
 “Full Chrome exploit”: Chrome en Windows 7 como usuario local, sólo bugs que estén en el mismo Chrome. El premio es de 60 mil dólares.
“Partial Chrome exploit”: Chrome en Windows 7, usando al menos un bug de Chrome más otros bugs. Por ejemplo, un error por parte de WebKit en combinación con un error de Windows sandbox. el premio es de 40 mil dólares.
“Consolation reward, Flash/Windows/other”: Chrome en Windows 7, sin usar bugs de Chrome, por ejemplo, usando bugs en Flash, Windows o un driver. El premio es de 20 mil dólares.
Además de el dinero, todos los ganadores recibirán una Chromebook de regalo. Evidentemente Google entra a este concurso para que los usuarios le señalen errores en Chrome y puedan mejorar las futuras versiones del mismo. El concurso va a iniciar la próxima semana por si hay alguno interesado.

¿Cómo saber si un vínculo es seguro? 

La mayoría de las conexiones a internet seguras utilizan un prefijo https en vez del http común, en donde la "s" extra significa "seguro".
A diferencia de las conexiones abiertas, las https establecen un canal seguro dentro de una conexión de internet comprobando la autenticidad de un sitio web con algunas autoridades que los certifican.
Usar el sistema, sin embargo, puede hacer más lento el acceso al servicio pues los datos requieren múltiples viajes para validar su autenticidad.
Pero el https es especialmente importante en sitios de comercio electrónico o bancos en línea. 
¿Existe una ciberguerra?

En los últimos meses, los medios de comunicación han hablado de una ciberguerra por la intensidad y aumento de ataques informáticos que buscan desestabilizar sitios de internet por cuestiones ideológicas.
Los ataques de Anonymous a sitios como Amazon o PayPal se dieron por "defender la libertad de internet" que dicha organización asumía se estaba bloqueando, después de que algunas empresas negaran sus servicios al sitio de filtraciones Wikileaks.
Mientras que organizaciones como la Organización para la Cooperación y el Desarrollo Económico (OCDE) aseguran que el término es una "exageración", otros especialistas insisten en que el nombre es correcto e incluso sugieren que se creen mecanismos como la "Convención de Ginebra" para el ciberespacio.
A final de cuentas una de las definiciones de la palabra guerra es: "Lucha o combate, aunque sea en sentido moral", según el Diccionario de la Real Academia de la lengua Española. 

La batalla será móvil.

Pero la guerra de los navegadores está comenzando a abandonar las computadoras de escritorio para centrarse en los teléfonos celulares.
Cada vez más gente usa los dispositivos móviles para acceder a la web, y las empresas están llevando allá su batalla.
El sistema operativo Android, de Google, usa un navegador que comparte ciertas características de Chrome, pero que no es bautizado como tal. Eso, sin embargo, no significa que en el futuro cercano no lo incluya como el programa predeterminado.
Pero en Android también se puede utilizar Opera y Firefox, con lo que ambas empresas amplían sus terrenos.
En lo que a iOS -el sistema operativo del iPhone y el iPad- se refiere, Safari es el navegador predeterminado, lo que explica su modesto pero constante crecimiento. Opera también cuenta con una versión para los dispositivos de Apple, pero Firefox sólo tiene una aplicación para sincronizar favoritos e historial.
Internet Explorer Móvil es el programa predeterminado de los teléfonos Windows Phone 7 y sólo Opera planea una versión de su navegador para este sistema. Además, este navegador europeo está presente en teléfonos BlackBerry y Nokia.
El futuro de la navegación parece estar enfocándose en el terreno celular. Según StatCounter, las visitas a páginas de internet desde teléfonos celulares pasaron de 0,8% del mercado en marzo de 2009 a 4,60% en marzo de 2011.
La puerta de entrada a la red y la llave que representan los navegadores continuarán allí su batalla.