Año 3 - Nº 11 | Noviembre 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Palabras de CISO
   
Seguridad de la Información: Tomando Conciencia de la Red
Por Frano Capeta Mondoñedo
Director I-SEC Information Security
Perú

 

REVISION DE LA REALIDAD.- ¿Cuál es la situación actual?

La seguridad en la información no necesita de introducción. Es necesaria en todas las áreas de operación y consiste en una necesidad bien definida, que puede ser tan vaga o específica como una base de conocimiento. De igual manera que cuando nos mudamos a un nuevo vecindario, o adquirimos un nuevo automóvil, uno reúne todas las piezas de información disponible para ayudarnos a tomar la mejor decisión que nos pueda dar la mayor satisfacción a largo plazo.

Uno de los más grandes retos que las empresas tienen que enfrentar, es no sólo generar ganancias de la manera más simple, sino también asegurar la protección de dicha ganancia. Numerosos recursos se han invertido en equipamientos, herramientas y gente calificada a fin de incrementar la seguridad.

En las operaciones diarias de una organización típica, se hace imperativo proteger los activos de la compañía y más aún de actuar rápidamente y efectivamente contra cualquier amenaza que pudiera impactar en la continuidad del negocio. La Conciencia de Red ha sido una parte desestimada de la ecuación.

NAVEGADORES ILIMITADOS Y OTROS RETOS

Internet se encuentra en todas partes y se ha transformado en un componente transparente de nuestra vida diaria, y para una mayoría de conocedores, la forma primaria de comunicación. La World Wide Web y el e-mail son los servicios de facto hoy en día. Los navegadores de Web se han transformado en los presentadores de noticias de hoy, los paquetes de datos se han transformado en los medios de transporte relacionados a papel y lapicero, y los viajeros así como las cifras encuentran su camino hacia su destino a lo largo del globo. La empresa contemporánea debe proveer de estos servicios a sus empleados y como tal, la navegación, el envío de correos y los medios de información grupal se hacen sencillamente imparables.

El navegador de la Web es muy complejo. Aunque se utilicen los protocolos necesarios para lograr los objetivos, se presenta por sí misma como una herramienta inocua para el usuario final promedio. Nacida a partir de la necesidad de más conveniencia, el navegador integra muchas herramientas conocidas en una interfase simple. Puede ejecutar ya sea integraciones, aspectos y añadidos. Las redes peer-to-peer ofrecen un modo excitante, e incluso intimidante de encontrarse comprometido en la descarga de lo que pueda ser una película, música, archivo, documento o archivo comprimido. Sin embargo, el individuo nunca puede estar lo suficientemente seguro de saber qué es lo que ha permitido ingresar a su disco duro, mientras espera que su descarga sea completada. Hasta el momento, los troyanos se han “envuelto” con las descargas, permitiendo que la “carga explosiva” sea liberada al mismo tiempo que la aplicación deseada, foto, o canción. Estadísticamente, en el año 2006, hubo un 400% de incremento en el uso de esta diseminación viral a través de clientes IM y P2P. Esta tendencia incluso está aumentando.

En estos ambientes, se crea siempre un terreno fértil para las amenazas potenciales. ¿Puede acaso la empresa protegerse a sí misma de estas amenazas implícitas y explícitas? ¿Puede el administrador de red mantener a raya este problema?

Componentes comunes de la Red


Naturalmente dentro de la mayoría de redes en el mundo existe un diseño de infraestructura común. Desde que los componentes son elegidos para ejecutar una función específica dentro del sistema, con frecuencia no son vistos como una parte de todo un ecosistema.

 

Junto a los bloques básicos de ambiente de red típico, comprendido por firewalls, routers, estaciones de trabajo, servidores, dispositivos de acceso remoto, y software, por nombrar algunos componentes, el usuario final está constantemente moviendo piezas en el manejo total de la red. Adicionalmente, las organizaciones pueden estar ejecutando softwares que hayan implementado y desarrollado, creando una capa adicional de complejidad. De manera imprevista, dinámica y diversa, el usuario final requiere que la red trabaje para él de un modo deseado, y es trabajo del administrador de red hacer que esto suceda.

 

De manera diametralmente opuesta, los usuarios y administradores deben trabajar al unísono para lograr los objetivos de la compañía.

¿En qué consiste la Conciencia de Red?


La Conciencia de Red es un cambio en la mentalidad de la seguridad profesional. Ella se presta por sí misma muy bien a cualquier disciplina que involucre diseño, construcción, manejo, monitoreo, diagnóstico y mantenimiento de una red. Se encarga de visualizar la red viviente desde una perspectiva apropiada, dándose cuenta que cada elemento de la red afecta al otro, así tenemos: la gente, paquetes, máquinas, subredes, sesiones, transacciones, tráfico y cualquier movimiento en la red en todos sus niveles. Cualquier cambio, acción o maquinación debe ser monitoreada, reportada e integrada en el proceso de toma de decisiones del administrador, adoptando este nuevo estado mental al mismo tiempo que utilizando la tecnología existente.

 

La clave es la información. Mediante el autoabastecimiento propio de todos los datos disponibles se pueden tomar buenas e inteligentes decisiones. Para hacer una rueda mejor, no es necesario reinventarla. No es la tecnología la que resolverá el problema, es sólo un giro en la aproximación global al manejo de red. Al más alto nivel, la conciencia de red se está volviendo competente en toda la actividad del manejo de red.

 

Los administradores están conscientes de los siguientes conceptos básicos de trabajo en redes y deberían continuamente revistarlos cuando hagan el mantenimiento de la red

 

Responsabilidad

El primer paso que debe tomar para asegurar su red es la responsabilidad. ¿Puede Usted revisar qué es lo que la gente hace? ¿De qué manera tienen acceso a sus servicios? ¿A qué servidores hacen acceso? ¿Qué versiones de navegador están ejecutando? ¿Qué tipos de tráfico generan típicamente los empleados? El poder que le brinda el saber qué hacen sus empleados no sólo le permite rastrear y actuar sobre el tráfico malicioso de manera rápida y efectiva, sino que también le permite establecer el trabajo fundamental para construir un perfil de seguridad preciso.

 

Autorización y Accesibilidad

El segundo y tercer paso son parientes cercanos del primero y tienen la misma importancia en cuanto se refiere a seguridad: autenticación y accesibilidad. Una vez que usted visualice cada componente de la red, debe también visualizar de qué manera cada componente interactúa uno con otro. ¿Quién está teniendo acceso a su información, cómo es que está siendo rastreada y guardada? ¿Qué tan fácilmente usted puede acceder a esta información? ¿Se presenta de una manera útil? ¿Qué información está disponible a quién?

 

Los tópicos que surgen a flote cuando Usted no es conciente de su red

En los primeros días de Internet, sólo unas pocas personas tenían el conocimiento necesario para orquestar un ataque, y en consecuencia, el número de los mismos era limitado. Sin embargo, el conocimiento y las habilidades se han incrementado: virus y gusanos (Worms) se han vuelto mucho más sofisticados, diseminándose de un modo más rápido, y el tiempo para responder se ha reducido a cuestión de minutos. Los daños colaterales que los virus y gusanos pueden ocasionar merman las ganancias y desarrollo de la empresa. Más allá de ser una molestia, los impactos son muy reales. ¿Podrían los administradores ser capaces de actuar con rapidez suficiente, aislando al intruso y tomar decisiones correctamente informados, si es que no hubiera un cuadro claro de la topología de su red y de las actividades que ocurren en la misma?

 

Considere esto: un programa malicioso puede estar infectando uno o más huéspedes de una red, robando datos importantes, permaneciendo oculto, generando sólo pequeñas cantidades de tráfico de red. Con una conciencia de red apropiada, esta amenaza podría ser identificada antes de que pueda causar más daño. La pérdida de información, particularmente datos importantes o sensibles, es inaceptable en el mundo moderno. El análisis de tráfico apropiado delega más responsabilidad a una organización para tomar decisiones educadas y actuar rápidamente si algo se encuentra comprometido. La responsabilidad es el factor crítico en el aseguramiento de un ambiente donde sea casi imposible asegurar cada componente de la red. Lo que no puede ser asegurado debe ser monitoreado.

 

¿Cuáles son las ventajas de tener conciencia de red?

Cada organización se beneficiará de la Conciencia de Red a través de la mejora de la eficiencia en su departamento TI. Con esta nueva capacidad de analizar sus propios recursos y eliminar aquel tráfico no deseable (tal como malwares, gusanos, archivos peer-to-peer, mensajes instantáneos, e-mails privados, etc), la organización entera ganará el potencial de volverse más productiva. En las operaciones normales, las ventajas son también aparentes. Los administradores están concentrados en mantener sus organizaciones ejecutándose suavemente, y transparentemente para los usuarios que dependen de ellos. Incluso sin detectar algún incidente, poseer una Conciencia de Red facilita priorizar y determinar dónde es que la gente responsable de mantener, actualizar y mantener cuidado diario, pasa su precioso tiempo. La enumeración de máquinas, aplicaciones, servicios y vías de conectividad, arma a aquellos individuos del conocimiento necesario para la toma de decisiones críticas. ¿De qué manera podría defender usted un fuerte sin conocer el paisaje que lo rodea?

 

La protección contra amenazas internas y externas evoluciona de la abrupta reacción hacia un proceso que sencillamente debe ser mantenido con diligencia sólo estando bien preparado. Las operaciones de red en general se benefician de la posesión de datos significativos que puedan ser utilizados en cualquier decisión que afecte al negocio que soportan.

 

Es difícil cuantificar las ventajas para una organización específica debido a la cantidad de variables involucradas en cada situación particular. Sin embargo, se hacen obvios cuando son presentados como puntos comunes de referencia que se apliquen a todas las organizaciones:

 

- En la mayoría de casos, tiempo es dinero. La pérdida de tiempo es costosa. Cuando alguna parte de la organización falla, las otras que dependen de ella también sienten el impacto. En los ambientes de producción, éste puede impactar en las rentas de modo significativo. En el área de salud, puede significar la vida o muerte de un paciente. Considere la dependencia financiera de las organizaciones de la información a tiempo.

- No es favorable intentar reconstruir o recuperar la actividad sin mecanismos adecuados. En el caso de un incidente crítico, la responsabilidad es un punto importante. Es vital conocer el ambiente antes de la ocurrencia de un incidente, tal como ocurre en los jugadores en el campo de batalla, así como el movimiento “normal” del tráfico, que incluye datos operacionales, mecanismos de transporte y la infraestructura de la fabrica (inventario de maquinarias y su localización). Armado con este conocimiento, esto capacita al administrador a desarrollar una estrategia para derrotar a cualquier oponente al mismo tiempo que preserva la cadena de custodia en el caso de la interposición post-incidente. La localización y eliminación de esta actividad se hace trivial con un sistema de monitoreo apropiadamente implementado. Sencillamente deja de ser una amenaza.

- Otro ejemplo sencillo es el mal uso de los recursos de la compañía. El compartimiento de archivos, mensajería instantánea, peer-to-peer networking y aquellas responsabilidades legales que puedan introducir en las organizaciones, añaden un riesgo adicional.

Estadísticas: ¿Qué es lo que conocemos?
Virus y gusanos se han vuelto más sofisticados y se diseminan mucho más rápido que en el pasado. Ellos viajan por todo el mundo en cuestión de minutos causando pérdida de productividad, pérdida de ventas y costos adicionales de ancho de banda, entre otros daños.

En concordancia con el estudio de e-crimenes del 2005, conducido entre la revista CSO en cooperación con el Servicio Secreto de los EEUU y el Centro de Coordinación del Instituto Cert de Ingeniería de Software de la Universidad Carnegie Mellon, se halló que más de la mitad de los encuestados (56%) reportaron que las pérdidas operacionales ocupaban el primer lugar entre las pérdidas que sus organizaciones experimentaron el año pasado. Adicionalmente, el 25% fueron pérdidas financieras, y el 12% declararon otro tipo de pérdidas. La investigación de Seguridad y Crímenes cibernéticos 2004 CSI/FBI enumeró a los virus como la primera causa de pérdidas económicas entre las causas investigadas, llegando a la cantidad de $55,053,900. Sin embargo, es interesante notar la ironía del estudio CSI/FBI, que colocó a los software de antivirus como la tecnología número uno usada.

El gusano SQL Slammer
El año 2003 reportó eventos de apariciones inigualables de gusanos. El gusano SQL Slammer fue el primer gusano en llegar a los titulares en los periódicos en el mes de enero, y se aseguro un lugar en la historia por ser el gusano de diseminación más rápida en las computadoras. De acuerdo al análisis de la Asociación Cooperativa para el Análisis de Datos de Internet (CAIDA), el Slammer se duplicaba de tamaño cada 8.5 segundos durante el primer minuto, alcanzando un rango total escaneable de más de 35 millones de escaneos por segundo luego de sólo 3 minutos, y continuando con la infección de más del 90% de huéspedes vulnerables dentro de los 10 minutos. El gusano congestionó la mayoría de redes vulnerables en forma significativa luego de 3 minutos, reduciendo su capacidad de propagación. Se estimó que 250 mil computadoras fueron infectadas entre el sábado en la mañana en Asia y el Domingo a nivel mundial.

Gusano Blaster
El gusano Blaster anunció su presencia al mundo en agosto del 2003, infectando 100000 computadoras durante las tres a 5 primeras horas, y a 336000 computadoras dentro de las primeras 24 horas, excediendo al gusano Code Red (2001), que previamente había infectado 265 mil computadoras dentro de las primeras 24 horas y al SQL Slammer, que fue capaz de infectar 55 mil computadoras dentro de las 24 horas (Richi Pethis, director del CERT Coordination). En una única red, el Blaster infecto a 1000 huéspedes en agosto y a 35 mil huéspedes en septiembre (reportado por mycert.org).

SoBig.F y MyDoom
SoBig.F y MyDoom son ambos gusanos adjuntos a e-mail, el SoBig.F fue anunciado en agosto del 2003 y el MyDoom en enero del 2004. A ambos se les atribuye ser los peores gusanos basados en e-mails en la historia de virus a la fecha. El cert@cert.org hizo un recuento para el SoBig.F del 87% de todos los e-mails, recibiendo más de 10 mil mensajes infectados en un día, lo que es lo mismo un mensaje cada 8.6 segundos (Rich Pethis, director del CERT Coordination). MessageLabs, que maneja los servicios de seguridad de e-mails en Negocios a nivel mundial, afirma haber detenido más de 1.2 millones de copias de MyDoom durante las primeras 24 horas y reportó un nivel pico de infección de uno de cada 12 e-mails. MessageLabs también reportó haber detenido un millón de copias de SoBig.F durante las primeras 24 horas, alcanzando un nivel pico de infección de uno de cada 17 e-mails.

Daños

Internamente, si un incidente ocurriera, la pérdida incluye tiempo, recursos y recuperación. Las pérdidas de un simple virus pueden afectar drásticamente su presupuesto preestablecido. A continuación un ejemplo realista:

La Compañía A tiene 200 empleados y 5 proyectos en marcha que se están ejecutando en ese momento. Cada proyecto incluye 10 personas y su red está bien configurada y mantenida. Uno de los 200 empleados, llamado José, se encuentra en casa preparándose para ir al trabajo. Mientras se alista, se conecta a Internet y navega por las noticias del día, así como también decide chequear su correo corporativo. Sin darse cuenta de haber sido infectado por el virus Xyzzy, José se va a trabajar y enciende la laptop infectada. En cuestión de segundos, comienza a recibir llamadas de numerosos departamentos internos. Estaciones de trabajo se empiezan a reiniciar al azar, y algunas incluso no pueden reiniciarse. Los clientes comienzan a llamar así como comienzan a informar a la compañía A de que están recibiendo numerosos e-mails y experimentando una conducta anormal en su red, al darse cuenta de que también han sido infectados.

 

Este virus ficticio llamado Xyzzy pudo ingresar a la máquina a través de un código de escritura de un navegador malicioso. El virus se disemina a través de las conexiones de red que va generando, explotando 3 vulnerabilidades, siendo 2 de las cuales conocidas y la tercera no. Luego comienza a escanear casi un millón de direcciones públicas en sólo cinco minutos, comienza a enviar masivos e-mails a través de su propio servidor de e-mail integrado.

 

Cuando se hace claro que la red interna de la compañía A está bajo ataque, el departamento TI comienza a reunir todos lo recursos disponibles y conocimiento disponible, y luego de unas pocas horas hacen un anuncio estimado de que tomará al menos tres días corregir este problema. Mientras tanto, la gente no puede continuar su trabajo y la producción se paraliza hasta que las máquinas ya no estén infectadas.

 

Utilizando números conservadores, la medición de los daños en esta situación no es una tarea difícil. Se hace aparente que cualquier mecanismo que pueda mitigar este riesgo es casi una buena inversión preventiva. En el caso de la Compañía A, los recursos trabajando en el proyecto son empleados a tiempo completo y rinden aproximadamente $20 la hora. Si tomara 3 días limpiar las máquinas infectadas y dos días arreglar y retomar el progreso de los proyectos, los gastos estimados descritos más adelante demuestran qué tan rápidamente se generan las pérdidas.

 

La pérdida en el tiempo del empleado sólo podría llegar a $24,000 en los primeros 3 días, veamos el siguiente cálculo: 8hrs/día a un valor de 20 la hora = $160. Multiplicado por 10 empleados por proyecto, llega a ser $1600 por día. Con 5 proyectos en simultaneo, lo que da un total de $24,000, incluyendo todos los proyectos en curso, esto podría llegar a mucho más. Dado que no incluye el tiempo de respuesta del departamento IT, los costos de remediación, llamadas telefónicas o solicitar ayuda externa. Tampoco incluye la pérdida o costo tiempo de cualquier otro empleado, y es importante añadir, el tiempo necesitado para reiniciar los proyectos. Considere por un momento que la Compañía A pudiera realmente depender del comercio por Web para generar ganancias. A medida que los minutos pasan debido a la parada en la productividad, los clientes no podrán contactar ni solicitar los productos por Internet, y la Compañía tampoco podrá procesar esas ordenes de compra. No requiere de mucha imaginación cuantificar la magnitud de la perdida que podría afligir a la organización. Esto sin tomar en cuenta la pérdida de reputación entre los clientes.

 

 

 

  Frano Capeta Mondoñedo
Director I-SEC Information Security - Perú
frano.capeta@i-secperu.org		    

 

 

  






Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales