Banner Superior
InfoSecurity News Recomiendanos
Inicio Puntos de Vista Entrevista Hacking bajo la lupa Noticias e-fraude Las Leyes Palabras de CISO Hot vulnerabilities Foro
Portal InfoSecurity Online Recomiendanos Registrarse Staff Contactos
Estadisticas
lo sabias?
Carta de Lectores
Tips para un CISO
Capacitación
Toolbox
Agenda InfoSec
Productos
Bolsa de Trabajo
Links de Interes
Libro de Pases
Números Anteriores
PUNTOS DE VISTA

0DAYS Y EL FUTURO INMINENTE DE LA SEGURIDAD INFORMÁTICA
(cómo defender lo indefendible)
Por Sergio Álvarez.

Actualmente es común escuchar lanzamientos de sistemas de detección y bloqueo de ataques informáticos, como también oír los avances en las técnicas de detección de ataques. Sin embargo, un tema tabú son los 0Days, programas que se aprovechan de vulnerabilidades que aún no han sido reportadas y, consecuentemente, se mantienen desconocidas. En este breve artículo se explicará el problema que surge de ellas y las formas de minimizar el riesgo. (1)

Detección de Fallos de Seguridad y Riesgo Asociado
Últimamente, se han liberado varias herramientas que facilitan la detección de Problemas de Seguridad, hecho que torna más sencillo descubrir fallas en los sistemas. No obstante, sólo una minoría las reporta, ya que son muchos los 0Days desconocidos para la mayoría de los integrantes de la comunidad de la Seguridad Informática.

Problemas relacionados con el avance de los Motores de Detección
Los motores de detección de ataques avanzan técnicamente día a día, incrementando la cantidad de código utilizado para crear motores más complejos y, al mismo tiempo, como si fuera una suerte de paradoja, aumentando también la probabilidad de cometer errores.
En algunos casos se termina por convertir el mecanismo de defensa en el punto de entrada, como sucedió con el motor de análisis del tráfico de las conexiones de ICQ en los productos BlackIce, RealSecure y Proventia de ISS (es decir todos los productos que utilizan el mismo parser).

  • Advisories(2)
  • Exploit (3)

Avance en los filtrados
Uno de los mecanismos más interesantes de filtrado contra los “desbordamientos de buffer” consiste en definir el tamaño de los paquetes que se van a dejar pasar a determinados protocolos. Dicho mecanismo resulta muy efectivo (la configuración es realmente laboriosa) y, a medida que los fabricantes de estas soluciones vayan agregando mayor cantidad de “reglas” de filtrado, la situación va a mejorar radicalmente. Pese a no detener problemas de formato SQLInjecion y XSS, no deja de ser una excelente medida.

Sin embargo , la Historia nos ha demostrado que en la carrera de ataques contra defensa, los atacantes han prevalecido. Entonces, la pregunta es cómo hacemos para defendernos de los famosos 0Days.

La respuesta es simple. No existe una forma realmente efectiva.

Es innegable que el 99% de Seguridad equivale al 100% de Vulnerabilidad, pues un solo atacante basta para certificar la ecuación. A este problema se suma que dicha vulnerabilidad no es conocida, situación que genera graves problemas. Pero se puede comenzar a ver las cosas desde otra óptica...

Principios de Análisis Forense como Mecanismo ProActivo
He aquí un pseudo análisis forense que será de gran ayuda.

Una vez que un sistema fue comprometido, el atacante suele “sembrar” una puerta que le permite ingresar nuevamente al mismo (no se describirán las técnicas utilizadas por los Backdoors ni los canales ocultos frecuentemente utilizados porque trascienden el alcance del artículo, pero en próximas ediciones con seguridad se hablará de los mismos).

Lo relevante es destacar que hay dos modalidades comunes:

  • Las que escriben o modifican archivos en el Disco.
  • Las que actúan sobre la memoria RAM del sistema vulnerado (modificando procesos o creando nuevos).

La técnica consiste en asumir que siempre existe la forma de ser vulnerado, con lo cual se sugiere controlar periódicamente que los sistemas no hayan sido comprometidos, de modo de minimizar de alguna forma los datos y poder tomar medidas al respecto. (4)

Conclusiones
En un futuro no muy lejano se deberá asumir como cierto que por más medidas que se tomen es inevitable ser vulnerado. Por lo tanto, se agregarán a las herramientas y sistemas de monitoreo actuales, mecanismos que comprueben la integridad de los sistemas, que no podrán ser residentes ya que de ese modo podrían ser modificados.

Notas
(1) El caso T-Mobil despertó en este sentido el interés en la comunidad mundial de la Seguridad Informática.
(2) http://www.securityfocus.com/archive/1/357916
(3) http://www.securityfocus.com/data/vulnerabilities/exploits/557iss_pam_exp.c Sólo por nombrar uno de los fallos, si buscan el www.securityfocus.com van a encontrar MUCHOS más.
(4) En cualquiera de sus dos modalidades ocultarán a nivel kernel los cambios ocasionados y/o cambiarán estructuras en disco con el mismo fin.

Sergio Álvarez
Security Research
shadown@gmail.com


Recomienda esta Nota a un Amigo:
Tu Nombre y Apellido:
Tu Email:
Email de tu amigo:
Nombre de tu amigo:
Apellido de tu amigo:

 

 

 

 

 
Banner Partners
Banner ASIar
Banner I-SEC Consulting
Banner HP
Banner Symantec
Banner Empresas
Banner Sun ComWare
Banner I-SEC
Banner Openware
Banner ComPlus
Banner Next VISION
Banner Hynet
Banner GMS
Banner TrendCorp
Banner 3Com
Copyright © 2006 I-Sec. Todos los derechos reservados Política de protección de Datos Personales Powered by