Feliz Navidad apasionados de las Redes y de la Seguridad Informática

El equipo de ZonaAsegurada, les desea una Feliz Navidad.

En estas fechas tan señaladas, no puede faltar la correspondiente felicitación a todos los usuarios que visitan esta humilde web, que esperamos, se convierta en un referente en un futuro próximo.

Seguiremos mejorando y poniendo enlaces a nuestros mejores artículos y revisaremos sus comentarios para brindar un poco más de lo que hemos podido mentregarles hasta ahora. También haremos análisis de todos los contenidos más visitados para mantenerles al día de los riesgos del uso de Tecnologías de la Información.

Debido a la continua aparición de retos y una necesidad constante de formación esteromos dando lo mejor de nuestra experiencia.

Personalmente un hecho que ha cambiado mi forma de adquirir conocimientos ha sido el acceso por contenidos sindicados a fuentes de información.En una primera fase que ha durado en general este año, he ido localizando aquellas fuentes más interesantes. En una segunda fase, a lo largo de este año que empieza, seguro que maduran muchas de mis subscripciones y consigo averiguar que blogs y webs son "fuentes de información" y cuales son meros tablones de publicación de otras fuentes.

¡Feliz Navidad y próspero año 2012!

Viviendo en la Inseguridad

Mis estimados lectores,no se trata de un artículo de Mario Vargas Llosa, se trata de la realidad que vivimos y que irremediablemente debemos aceptar en este viaje sobre el ciberespacio en el cual todos estamos involucrados directa o indirectamente.

Y le digo que nadie esta excluido es por lo siguiente:
¿Usted usa una computadora u otro dispositivo regularmente para navegar por Internet? ¿Intercambia archivos constantemente con familiares y amigos? ¿ Baja con frecuencia música desde la red mundial? ¿Visita páginas web de contenido dudoso, o de grupos o empresas poco conocidos? ¿Utiliza programas de mensajería instantanea como el MSN Messenger?, Si contestó afirmativamente a una o más de estas preguntas, entonces su equipo y sus datos están en riesgo. Y si contestó no a todas ellas, entonces usted desperdicia la capacidad informática que le brinda su dispositivo.

En efecto, aprovechar plenamente el potencial de una computadora involucra riesgos de seguridad del propio equipo y de los datos (cuando no de las personas y de sus activos financieros). Pero no utilizarla íntegramente es un desperdicio; así que no hay escapatoria. Sin embargo, los riesgos son controlables siempre que se tomen las medidas adecuadas de protección, las cuales planteamos semana a semana en este blog.

La seguridad informática es una preocupación creciente, tanto de los fabricantes de hardware y software, como de millones de usuarios de computadoras en el mundo. De hecho, es un tema de gran actualidad que aún los usuarios principiantes deben conocer para contrarrestar tales riesgos; Precisamente , en esta sección del blog explicaremos cuáles son estos riesgos, qué precauciones deben tomarse y qué recursos de software existen para enfrentarlos. ¡Comenzamos!

Cifrado de correos electrónicos

Para no perder la costumbre me encuentro analizando la normativa 1301-2005 de la Comisión Nacional de Bancos y Seguros, específicamente en lo que se refiere a correo electrónico en el Artículo 65 donde dice lo siguiente:

La institución deberá determinar los tipos de operaciones que sus clientes podrán realizar por medio de correo electrónico.

La institución deberá tomar en cuenta el grado de necesidad de inequívoca identificación de un cliente enviando correo electrónico, de autenticación y de aseguramiento de los contenidos del mensaje, preservando la confidencialidad en la información y el no repudio, conforme a los tipos de operaciones señaladas en el párrafo anterior.

Los que sabemos algo de seguridad informática nos ponemos a pensar si realmente la banca hondureña está cumpliendo con esta obligatoriedad?.

Nos hemos preguntado alguna vez cuál es la tecnología que utilizan las entidades financieras para el envío de correos electrónicos cifrados o cuáles opciones se pueden utilizar para enviar información cifrada a los clientes u organismos mediante correo electrónico y así evitar la intercepción del correo o el no repudio (Cualidad o característica de una determinada comunicación, a través de la cual se protege a las partes de la comunicación frente a la negación de que dicha comunicación haya ocurrido). Hablo de que en lo personal me llegan correos de entidades bancarias donde me envían mi estadio de cuenta que es únicamente de mi interés o solicitan una clave y de ahí en adelante todos los correos electrónicos los abro con esa clave. Encontré que Exchange tiene un módulo que cumple esta función llamado Microsoft Exchange Hosted Encryption, pero también existe una herramienta comercial de origen canadiense llamada Eclipse que sirve no solo para servidores de correo de Microsoft sino para cualquiera.

Pueden ver la herramienta Reflexion que tiene también muy buenos elementos de seguridad de la identidad de correo electrónico y nos permite aceptar o no correspondencia de cualquier persona y así nos evita en un 100% el fastidioso spam.

Les dejo algunos consejos para securizar correos con certificados digitales o con PGP que estan en la página de Inteco.

Con este tipo de herramientas realmente creo que los bancos estarán intercambiando correos con verdaderos clientes y nos darán más seguridad a nosotros los usuarios de los servicios financieros.

Banner Grabbing con Netcat

El banner grabbing es una técnica sencilla que se basa en obtener información de los banners de los servicios activos. por ejemplo:

$nc -v -n 148.206.80.6 21

148.206.80.6 21 (ftp) open
220 Microsoft FTP Service

Sencillamente nos dice que:

• Es un servidor windows
• que tiene el servicio FTP de Microsoft corriendo
• El puerto 21 esta abierto.

Una lista de puertos interesantes o puertos bien conocidos esta en:

www.iana.org/assignments/port-numbers o en el archivo /etc/services en tu unix-like preferido.

NetCat es una gran herramienta, tambien se puede usar telnet.

Banner Grabbing

Banner Grabbing, en español literalmente es "Captura de Titulares" , aunque aplicado a la técnica una mejor traducción podría ser "Captura de Encabezados".

Pero que es realmente?, Pues es el nombre que se le dá a la interacción manual, en texto plano, del usuario en forma directa con el servicio a analizar, con el objetivo de obtener la mayor información posible de la victima. En dicha conexión generalmente el servidor informa nombre del servicio o del software, versión y hasta capacidades incluídas en tiempo de compilación.

Esto se ve facilitado porque los protocolos que se manejan actualmente y son estándares en Internet fueron desarrollados cuando los equipos ejecutaban programas cliente relativamente precarios, en modo texto e interactivos mediante comandos; por este motivo es común que la interacción consista en simples comandos para ordenarle al servicio que realice tal o cual tarea.

Si bien es cierto hay programas que son más adecuados (Netcat es más adecuado que telnet por ejemplo) para hacer banner grabbing, el programa cliente de Telnet ([WIKI_TELNET]) es el software obicuo por excelencia para conectarse a cualquier host:puerto TCP e interactuar "a mano" con el servicio que aloja el server remoto.

En la figura anterior se muestra una simple sesión de Banner Grabbing mediante un cliente telnet. Primero se puede apreciar la información que publican los servicios FTP y de SMTP(respectivamente) del host 192.168.0.30, y luego se establece una conexión con el servicio de SSH en el host 192.168.0.30. Lo escrito por el intruso está en negrita, y la información útil está resaltada en color rojo.

El host "tsunami" evidentemente está ejecutando una versión muy vieja de Red Hat(6.2), y entre otras cosas está muy descuidado: su servidor SMTP permite la ejecución del comando VRFY, que contesta(sin autenticarse) si una dirección de correo es válida en ese servidor o no.

Checklist del CISO

Existen diferentes actividades para implementar seguridad en una institución que van orientadas en base a normas como la ISO 27000, las mejores prácticas internacionales implantadas así como la norma 1301-2005 de la Comisión Nacional de Bancos en Honduras.

Pero que debemos hacer posteriormente para mantener un esquema de revisión adecuado.

En el esquema que utilizo para mi trabajo y lo expongo como consultor cito a Demming (Plan-Do-Check-Act) con su ciclo de mejora continua el cual para la seguridad no es algo aislado.

Dentro del Check (Verificación) podemos tener como costumbre seguir el siguiente check-list de Verificación, el cual no es exhaustivo pero sirve para inspirarse en ella para realizar una lista más completa y trabajar con comodidad en ese nuevo cargo que nos han dado como "Oficiales de Seguridad Informática". Nos sirve mucho para verificar todos los elementos y, eventualmente, corregir omisiones. Sirve sobre todo cuando hemos heredado el cargo y ya hay polpiticas y herramientas en funcionamiento.

Veamos una lista de puntos a verificar periódicamente en su sistema de información para asegurar el mantenimiento del nivel de seguridad:

1. Antes de la puesta en marcha de una aplicación:

Buscar en Internet fallos de seguridad conocidos referentes a esta aplicación. Ejm. www.security focus.com

Desarrollar un Análisis de Riesgos

2. En tiempo real

- Tratamiento de las alertas enviadas por el IDS, los honeypots o sistemas de bitácoras con alertas automatizadas

- Tratamiento de los sucesos anormales señalados por los usuarios.
- Desactivación de la cuenta de cualquier persona que abandone la empresa. Molificación de las contraseñas de todas las cuentas de administrador que pueda haber conocido. Borrado completo de su equipo de usuario, por si hubiera instalado voluntaria o involuntariamente backdoors o bombas lógicas.

3. A diario

- Análisis de los logs, provenientes del cortafuegos, de los sistemas operativos, del proxy y de las aplicaciones ERP, Web, FTP, etc. Vigile especialmente los errores repetidos de acceso a un recurso (denegación de acceso a un archivo, denegación de conexión a una cuenta de usuario, denegación de recepción de un e-mail. etc.). Analice también los casos en que haya sido rechazado un intento de conexión desde el interior hacia el exterior. Esto puede significar que un virus intenta comunicarse con el exterior o que un usuario ha instalado un programa no autorizado, como Kazaa (aplicación de intercambio de archivos P2P)
- Verificación de la actualización del archivo de definición de los virus en todas las máquinas. Compruebe que el archivo de firmas del IDS esté actualizado.
- Verificación del bloqueo de la puerta de las salas informáticas, que deben estar cerradas tanto de día como de noche.
- Verificación del cierre con llave de todas las oficinas por la noche (una prueba nada mas...)

4. Semanalmente

- Verificación de la integridad de los archivos del sistema (compruebe que no hayan sido modificados).
- Scan de los puertos de todas las máquinas de la red, incluidos los equipos de usuario conectados de forma remota desde su casa mediante VPN. El objetivo es detectar eventuales backdoors, que probarían que el equipo de usuario está infectado por virus. Sin embargo, evite escanear los honeypots para no desencadenar falsas alertas.
- Verificación del cumplimiento de las políticas de seguridad por parte del personal.

5. Mensualmente

- Para cada aplicación y cada sistema operativo utilizados: comprobación en el sitio de los fabricantes por si han publicado nuevos parches de seguridad. Si es así, planifique una instalación de los parches lo antes posible. Esta comprobación puede automatizarse parcialmente con escáneres de vulnerabilidades.
- Verificación de que ninguna contraseña simple de administrador haya sido utilizada en ninguna máquina, incluyendo las máquinas de prueba temporales. Compruebe cada contraseña y asegurese de que son de nivel complejo. Si no es así haga que las cambien.
- Prueba del nivel de complejidad de todas las contraseñas (administradores y usuarios) empleando herramientas de ruptura de contraseñas como lOphtCrack.
- Utilización de un escáner para hacer una prueba de vulnerabilidad en todas las máquinas de la red.
- Revisión de las reglas del cortafuegos(ACL) y búsqueda de sus eventuales agujeros.
- Comprobación de que todos los antivirus en todas las máquinas hayan realizado al menos un scan completo de todos los archivos almacenados en los discos duros locales y en los discos de red.
- Inspección en detalle del 10% del parque informático. Establezca la lista de todos los programas cuya instalación no haya sido oficialmente autorizada por la empresa (shareware, juegos, etc.). Haga que esta auditoría permenente sea aleatoria, imprevisible y conocida por todos para disuadir a los usuarios de instalar programas no controlados en las máquinas. No olvide explicar por qué les están prohibidos los sharewares, sus colaboradores no deben tomarlo por un capricho sino por una sana medida de seguridad.

6. Anualmente

- Sesión de formación de los equipos técnicos.
- Formación y sensibilización del personal respecto a las cuestiones de seguridad.
- Realización de una nueva auditoría de seguridad por un empresa externa especializada en la materia.

Netcat

Dicho en pocas palabras, Netcat realiza y acepta conexiones TCP (Protocolo para el control de la transmisión) y UDP (Protocolo del datagrama del usuario). !Es eso! Netcat escribe y lee los datos de estas conexiones hasta que se cierran. Proporciona un subsistema de red TCP/UDP básico que permite a los usuarios interactuar manualmente o mediante una secuencia de comandos con aplicaciones y servicios de red en la capa de aplicación. Nos permite ver datos TCP y UDP puros, antes de que sean envueltos en la siguiente capa superior, como FTP (Protocolo de Transferencia de Archivos), SMTP (Protocolo para la transferencia simple de correo), o HTTP (Protocolo para la transferencia de hipertexto).

Netcat no tiene nada de bonito. No tiene una interfaz gráfica de usuario(GUI) agradable y no muestra los resultados con un bonito informe. Es crudo, austero y feo, pero como funciona a un nivel básico, sirve para una gran cantidad de situaciones.

Como Netcat por sí mismo no obtiene necesariamente resultados con sentido, sin emplearlo en conjunción con otras herramientas y técnicas, un usuario inexperto podría subestimarlo, como si fuera un cliente telnet afamado. Otros podrían no ser capaces de ver todas las posibilidades disponibles mediante los argumentos de la línea de comandos, que se explican en el enorme archivo README. Sin embargo, si se profundiza un poco veremos como Netcat puede ser una de las herramientas más valiosas de nuestro arsenal de hacker.

Puede ser descargada de la página http://nmap.org/ncat/
Si quieren profundizar en esta herramienta bajen el ebook de "Netcat Power Tools" y ver el sitio http://sectools.org/tool/netcat/

lOphtCrack

VPN - Redes Privadas Virtuales

Una Red privada virtual (en inglés, VPN para Virtual Private Network) es un canal seguro entre dos redes.

Una vez implementada, todos los datos que la atraviesan se cifran, por lo que pueden transitar sin peligro por conexiones de red potencialmente arriesgadas, como Internet.

Imaginemonos un usuario (A) que se encuentra en el interior de una filial situada en Roma, que desea conectarse a un servidor (B) situado en la sede principal de la empresa en Madrid. Para ello, deberá comunicarse a traves de Internet pero, anteriormente, atravesará el servidor VPN (A) que cifrará los datos.

A la llegada, la VPN (B) descifrará los datos que se transmitirán sin cifrar al servidor.

La operación es transparente, tanto al usuario (A) como para el servidor (B). No es necesaria ninguna otra configuración en ninguna de las dos máquinas.

La VPN permite cifrar de manera golbal todas las comunicaciones que circulan entre el usuario y el servidor, independientemente del protocolo utilizado (Web, mail, ftp, etc.)

Bombas Lógicas

Una bomba lógica es un virus concebido para esperar un evento específico para activarse. El evento esperado puede ser una fecha o una hora determinada, el hecho de que el disco duro de la computadora alcance cierta cuota, un evento proveniente del exterior, como la recepción de un e-mail que contenga un cierto código o la ctualización de una página de un sitio Web.

El ejemplo clásico es el de un empleado insatisfecho que implanta en el sistema informático de la empresa una bomba lógica encargada de activarse si su nombre desaparece de la lista de usuarios de la empresa o aparece con status de baja en el sistema de recursos humanos.

La lista de fechorías quie puede desencadenar una bomba lógica sólo está limitada por la imaginación del autor.

Puede modificar algunos archivos específicos, abrir una puerta oculta que permita al empleado piratear la empresa desde el exterior, borrar todos los discos duros de la empresa, mostrar un mensaje, enviar un correo masivo, apagar un servidor, etc...

Para ser considerado una bomba lógica, la acción ejecutada debe ser indeseada y desconocida al usuario del software. Por ejemplo los programas demos, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas.

Contramedidas

Podemos verificar que no existan en el sistema trabajos no interactivos de tipo crontab, at y otros procesos, que dispongan de ejecución periódica o esten en ejecución en segundo plano desde hace mucho tiempo. En todo caso podrían utilizarse medidas preventivas que impidieran trabajos no interactivos a los usuarios, o que solamente los permitiesen a aquellos que los necesitasen.

Otra medida debe ser los respaldos de información diarios.

Backdoors

Una "backdoor" (puerta trasera u oculta) es un programa que permite a su autor acceder a la computadora comprometida del usuario sobrepasando todas las protecciones implementadas. Es utilizado normalmente por empleados que quieren asegurar su acceso a la red de su empresa, aún cuando haya sido despedido.

Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.

La "backdoor" en sí no efectúa ninguna acción sobre la computadora, no borra archivos ni ralentiza la máquina. Su única función es la de permitir a su autor tomar el control del sistema informático.

Una "backdoor" puede ser integrada en un virus clásico o estar oculta en otra aplicación.

No es raro que los programadores de aplicaciones agreguen una "backdoor" en sus programas. Normalmente esta "backdoor" no se utiliza pero, así el autor se reserva la posibilidad de acceder al programa de forma remota y averiarlo voluntariamente en caso de que el cliente no pague su factura.

Se trata de un acto totalmente ilegal (incluso si el cliente no pagó), pero es un método bastante extendido. Una "backdoor" es muy dificil de detectar. El único medio de estar seguro de que un programa no contiene ninguna es disponer del código fuente del programa y revisarlo línea a línea.

Contramedidas

- Muchos antivirus son capaces de escánear y detectar automáticamente "backdoors" antes de que estos puedan causar daños. Una herramienta barata que puede erradicar más de mil tipos de programas backdoors y troyanos es Cleaner.

- Se deben mantener las aplicaciones actualizadas aplicando oportunamente parches de seguridad y debemos estár al tanto de anuncios de vulnerabilidades.

- Por último, aunque debería ser más bien la primera línea de defensa es educar a los usuarios para que no instalen aplicaciones bajadas de Internet o de adjuntos de correo electrónico.

- Hay que obtener del proveedor del software la certificación de que éste no contiene ningún tipo de backdoor escondido no documentado, y por supuesto aceptar el software solamente de sitios que provean garantías.

- Algunos software proveen algun tipo de verificación de software basado en códigos de suma o firmas digitales.

Netcat es una de las herramientas de hacking y administración de redes que puede ser empleada para abrir puertas traseras así como emplearla para protegerse de ellas. Originalmente desarrollada para sistemas Unix, en la actualidad también está disponible para Microsoft Windows.

LANguard Network Security Scanner

El escáner para detección de vulnerabilidades "LANguard Network Security Scanner" del fabricante GFI http://www.gfi.com/ funciona de esta manera. Obtiene parte de cada máquina la lista de los parches de seguridad instalados, comprueba el número de versión de las aplicaciones, así como muchos otros datos. Luego compara lo que ha podido observar con una base de conocimientos en línea proporcionada por el fabricante.

Así cuando aparece un nuevo parche de seguridad, el fabricante actualiza su base de datos , y el programa LANguard la utiliza para determinar qué maquinas no están actualizadas.

Al final de su análisis, LANguard muestra un informe en forma de árbol que contiene sugerencias de parches a aplicar.

La ilustración siguiente es el resultado del análisis de una máquina.



Este informe señala que es deseable instalar entre otros un parche de Adobe Flash Player y un parche critico de Internet Explorer 8, así como varios parches de seguridad, en la máquina analizada. Notese que cuenta con la función de remediación.

LANguard es un programa que dispone de un período de prueba con todas sus funcionalidades de 30 días con una limitante de 5 direcciones IP. Puede descargarlo libremente desde el sitio del fabricante.

GFI LANguard actúa como un consultor virtual para proporcionarle una imagen completa de su configuración de red, proporcionar análisis de riesgos y ayudarlo a mantener un estado seguro de la red más rápida y eficazmente. GFI LANguard le ayuda en estas tres importantes áreas:

- Gestión de actualizaciones
- Gestión de vulnerabilidad
- Auditoría de red y de software
- Inventario
- Gestión de cambios
- Análisis de riesgos y cumplimiento

Puede ver las principales caracteristicas en http://www.gfihispana.com/network-security-vulnerability-scanner/lanscanfeatures.htm

Tambien dispone de un manual en español muy detallado

http://www.gfihispana.com/network-security-vulnerability-scanner/manual