ambiente “amenazante” pueden considerarse la inclusión de
reportes
anónimos,
lo
que
seguramente
devenga
en
una
mayor
probabilidad
de que los incidentes sean efectivamente reportados.
Información de apoyo
Para
proveer
a
los
usuarios,
empleados
y
gerentes
con
información
de contacto y de referencia a ser usada ante incidentes de seguridad.
En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como
mínimo es recomendable que el departamento legal de la organización (o un
consultor externo) de su aval a las políticas de seguridad.
El
NIST,
por
su
parte,
indica
que
los
componentes
de
una
política
de
seguridad
deben incluir un programa estratégico de seguridad, políticas específicas,
(concernientes a temas específicos) y políticas específicas-sistema (concernientes
a
sistemas particulares). Esta visión es similar a la del RFC-2196
El CERT indica que una política de seguridad debe incluir:
Descripción de alto nivel.
Esto sería equivalente a la “Política estratégica de seguridad”
mencionada anteriormente
Análisis de riesgos
Identificando los valores, las amenazas a las que están expuestos
estos
valores
y
los
eventuales
costos
en
caso
de
que
un
valor
sea
perdido o “atacado”. Es una visión similar a la de la ISO 17799
Líneas maestras para administradores
Define como administrar los sistemas cubiertos
Líneas maestras de cómo reaccionar ante un ataque
La ISO ha
desarrollado un conjunto de “buenas
prácticas” en la
norma ISO/IEC
17799:2000.
Este
documento,
junto
con
el
standard
BS7799-2
(norma
“certificable”) constituyen una especificación para un “Sistema de Gestión de la
Seguridad de la Información”, conocido habitualmente como ISMS (Information
Security Management System). La orientación de estos documentos apuntan al
desarrollo de “procesos” acerca de la seguridad de la información. Estos procesos
se basan en el esquema de “Planificar” – “Hacer” – “Verificar” – “Actuar”.
El proceso indicado en la ISO 17799:2000 incluye 6 etapas:
Definir política de seguridad
Definir ámbito del ISMS
Evaluación de riesgos
Administración de riesgos
Seleccionar controles
Declaración de aplicabilidad
8.3
Vulnerabilidades, amenazas y contramedidas
8.3.1 Vulnerabilidad
Varios actores pueden potencialmente amenazar los sistemas de seguridad de
una organización. Entre ellos podemos mencionar “insiders”, o personal interno,
competidores,
o
“hackers”
en
general.
Las
amenazas
explotan
posibles
vulnerabilidades a la infraestructura de la información.
Una
lista
de
las
vulnerabilidades
consideradas
más
críticas
puede
verse
en
[53].
Una
lista completa
y
detallada de las
vulnerabilidades conocida se puede obtener
de CVE [54].
La
vulnerabilidad
de
una
organización
depende
de
varios
factores,
entre
los
que
se encuentran:
8.3.1.1 Factores relacionados con la tecnología:
Tipo de Firewall instalado y su configuración: Diferentes arquite©tu®as de
Firewalls
o
cortafuegos
pueden
ser
mas
o
menos
vulnerables.
Adicionalmente, la adecuada configuración de este sistema es fundamental
para disminuir la vulnerabilidad.
Sistemas operativos utilizados: Todos los sistemas ope®ativos tienen
vulnerabilidades conocidas, y en forma permanente se publican nuevos
“parches”
tendientes
a
solucionar
problemas
de
vulnerabilidad.
Las
empresas que sistemáticamente instalan estos parches serán menos
vulnerables.
Aplicaciones y servicios instalados:
Especialmente,
las aplicaciones
o
servicios
publicados
a
Internet,
ya
que,
por
su
propia
función,
están
expuestos al público.
Sistemas de IDS utilizados: Las emp®esas que puedan instala® algún tipo de
sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente su
vulnerabilidad.
Utilización
de
aplicaciones
de
“Antivirus”:
Muchos
de
los
ataques
actuales
se propagan por
virus, gusanos o troyanos. Disponer de servicios Antivirus
centralizados y actualizados reduce la vulnerabilidad.
8.3.1.2 Factores humanos:
Correcto uso de las aplicaciones por los usuarios: Mu©hos ataques son
producidos por técnicas de “ingeniería social”. Concientizar a los
usuarios
y
empleados en general de los riesgos causados por el mal uso de
aplicaciones, por instalar programas
no autorizados, o por revelar sus
contraseñas, reduce considerablemente estas vulnerabilidades.
Capacitación:
Tener
personal
calificado
en
seguridad
de
la
información
es
un factor clave para poder reducir las vulnerabilidades
8.3.1.3 Política de seguridad:
Finalmente,
tener
una
buena
política
de seguridad
de
la
información,
divulgada entre todos los actores, es, quizás, la mejora manera de disminuir
la vulnerabilidad de la organización.
8.3.2 Amenazas
Una amenaza es una condición del entorno del sistema de información con el
potencial de causar una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo). Las amenazas son, por tanto, el conjunto de los
peligros a los que están expuestos la información y sus recursos tecnológicos
relacionados.
Para cada amenaza, se pueden distinguir
°
Agentes: Quien potencialmente puede generar una violación de la
seguridad. Puede ser una persona, una máquina o fenómenos naturales
°
Motivos: Lo que mueve al agente a actuar. Pueden existir motivos
intencionales o accidentales.
°
Resultados: El resultado de la ejecución de la amenaza
(divulgación,
modificación, indisponibilidad)
Una vulnerabilidad
es
una
debilidad
de
un
sistema,
aplicación
o
infraestructura
que lo haga susceptible a la materialización de una amenaza.
El riesgo puede verse como la probabilidad de que una amenaza en particular
explote una vulnerabilidad
Un ataque no es más que la concreción o realización de una amenaza.
La
política
de
seguridad
y
el
análisis
de
riesgos
deben
identificar
las
vulnerabilidades
y
amenazas,
y
evaluar
los
correspondientes
riesgos.
Los
riesgos
pueden ser:
°
Mitigados: Mediante la implementación de los correspondientes controles
°
Transferidos Por ejemplo. Tomando un seguro
°
Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del
activo amenazado.
°
Aceptado:
Luego
de
evaluado,
decidir
que
no
es
conveniente
tomar
acciones.
En general, es sumamente importante ser concientes de las vulnerabilidades y
amenazas a las que está expuesta la información, de manera de mitigar, transferir,
eludir o aceptar el riesgo. Muchas
veces,
la decisión de cuanto dinero
vale la pena
invertir para eliminar o bajar el riesgo de una amenaza no es sencillo. En [55]
puede verse un estudio genérico de la “rentabilidad” de las medidas de seguridad.
A
continuación se detallan algunas de las amenazas más relevantes:
Desastres
naturales
(Incendio,
Inundación,
Terremotos
Tormentas
eléctricas, etc)
Fallas de infraestructura (Instalación eléctrica deficitaria, cambios bruscos
de tensión, etc.)
Robo físico
Ataques a través de Internet
Empleados actuales o ex - empleados descontentos, curiosos, hackers,
terroristas.
8.3.2.1 Tipos de ataques
Los ataques a sistemas de información pueden ser clasificados según diversos
criterios,
entre
los
que
podemos
citar
la
clasificación
por
origen
(Personas,
Amenazas
lógicas y Catástrofes)
y
la clasificación por
tipo (Acceso
no autorizado,
revelación de información y negación del servicio) [56].
Otra clasificación para los ataques es la siguiente [57] :
Interrupción: Un
recurso del sistema es destruido o se vuelve
no disponible.
Este es un ataque contra la disponibilidad.
Intercepción: Una entidad no auto®izada ©onsigue acceso a un ®e©u®so. Este
es un ataque contra la confidencialidad.
Modificación: Una entidad no auto®izada no sólo ©onsigue accede® a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad
Fabricación: Una entidad no auto®izada inse®ta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad
En [58] se clasifican los ataques o incidentes de la siguiente manera:
Pruebas
Barridos
Comprometer cuentas de usuario.
Comprometer cuentas del administrador.
Husmeo de paquetes (“Packet Sniffer”)
Denegación de servicio.
Explotación de confianza.
Código malicioso.
Ataques a la infraestructura de Internet.
Se describen a continuación varios Tipos de ataques [59]:
INGENIERIA SOCIAL
La
ingeniería
social
consiste
en
la
manipulación
de
las
personas
para
que
voluntariamente realicen actos que normalmente no harían. Uno de los motivos
mas frecuentes para que
un atacante
utilice la ingeniería social es intentar obtener
información sensible para la organización o acceder a un sistema o dispositivo
que, normalmente, no estaría disponible desde el exterior.
EAVESDROPPING³ Y PACKET SNIFFING
4
Se entiende por Eavesdropping la pasiva intercepción (sin modificación) del
tráfico de red. En general esto es realizado por packet sniffers, que son
programas que
monitorean los paquetes de red. Este
método
puede ser
utilizado para capturar usuarios, claves, números de tarjetas de crédito, etc.
que viajen sin encriptar.
SNOOPING
5
Y
DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener
la información sin modificarla.
Sin embargo los
métodos
son diferentes.
Además de interceptar el tráfico de
red, el atacante ingresa a los
documentos,
mensajes
de
e-mail y
otra
información,
guardando
en
la
mayoría
de
los
casos
esa información a su propia computadora.
TAMPERING
6
O
DATA DIDDLING
7
Se refiere a la modificación desautorizada de datos, o al software de en un
sistema,
incluyendo
borrado
de
archivos.
Puede
ser
realizado
por
“insiders”
o
“outsiders”,
generalmente
con
el
propósito
de
fraude
o
dejar
fuera
de
servicio
un sistema. La utilización de programas troyanos esta dentro de esta categoría,
y
refiere a falsas versiones de un software con el objetivo de averiguar
información, borrar archivos y hasta tomar control remoto de una computadora
a
través de Internet.
SPOOFING
8
3
“Eavesdrop” se traduce como “Escuchar indiscretamente”. Un “eavesdropper” es una persona
indiscreta, o que escucha indiscretamente.
4
“Sniffer” proviene de la palabra “Sniff”, que se traduce como “olfatear” o “husmear”
5
“Snoop” se traduce como “Entrometido” o “Curioso”
6
“Tamper” se traduce como “Manosear”, o “Intentar forzar”
7
“Diddle” se traduce como “Estafar”
Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente
para realizar tareas de tampering. Una forma común de spoofing, es conseguir
el nombre y password de un usuario legítimo para, una vez ingresado al
sistema, tomar acciones en nombre de él.
JAMMING
9
o
FLOODING
10
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible.
CABALLOS DE TROYA
Consiste en introducir dentro de un programa aparentemente seguro, una
rutina o conjunto de instrucciones no autorizadas, para que dicho programa
actúe de una forma diferente a como estaba previsto.
BOMBAS LÓGICAS
Consiste en introducir un programa o rutina que en una fecha determinada
destruirá o modificara la información o provocara daños en el sistema.
VIRUS
Si bien es un ataque de tipo tampering, difiere de este porque puede ser
ingresado
al
sistema
por
un
dispositivo
externo
(disquete,
CD,
DVD)
o
través
de la red (e-mails u otros protocolos) sin intervención directa del atacante.
8.3.3 Detección de ataques e intrusos
Existen varias formas de detectar intrusos que estén o hayan atacado sistemas
informáticos [60] :
°
Recibir mensajes
de otro
administrador,
advirtiendo
que
desde
alguna
máquina
de
su
red
ha
detectado
un
ataque
hacia
nuestra
red.
Es
posible
que la red de quien nos advierte ya haya sido atacada, y usada como
“trampolín” para acceder a nuestra red.
°
Hallar mensajes o registros inusuales durante análisis rutinarios de nuestros
sistemas.
°
Mediante algún reporte de
un sistema
IDS (Intrusion Detection System). En
este caso, el ataque podría incluso ser reportado “en línea”.
8
“Spoof” se traduce como “Engañar”
9
“Jamming” se traduce como “Atascamiento”
10
“Floodign” se traduce como “Inundación”
Signos de que un sistema está siendo atacado pueden ser:
°
Reconocer
una secuencia de acciones
no permitidas. La manera más
común es por reconocimiento de patrones, dónde el tráfico entrante
y
saliente
se
compara
con
patrones conocidos,
por ejemplo
un
gran
número
de
conexiones
TCP
fallidas
sobre
muchos puertos
indica
que
alguien
está
realizando un rastreo de puertos.
°
Incrementos súbito de tráfico
°
Utilización exagerada de recursos como ser CPU, discos o memoria.
°
Detección de conexiones de usuarios en días u horarios irregulares, o
desde lugares desconocidos
°
Registro de accesos a archivos de sistema o poco utilizados.
°
Detección de que se están ejecutando procesos o servicios no autorizados
°
Detección
de
usuarios
“sospechosos”
que
se
encuentren
firmados
(logueados)
En
el
artículo
[61]
pueden
verse
varias
recomendaciones
prácticas
para
detectar
intrusiones en sistemas Linux. El artículo [62]
muestra como detectar intrusiones
y
registrar sucesos en Windows.
Un IDS (Intrusion Detection System) es un sistema de detección de intrusos, o
sea, una herramienta automática con cierta inteligencia que trata de detectar
signos de ataques contra
un sistema o cualquier
tipo de actividad no autorizada o
no deseada.
Existen
varios
tipos
de
IDS
disponibles,
caracterizados
por diferentes
métodos
de
monitoreo, capacidad de análisis y respuesta. La mayoría de ellos puede ser
descrita en términos de éstos tres componentes funcionales principales [63]:
°
Origen de
los datos: Los
IDS pueden basarse en diferentes
fuentes de
información de eventos, usados para determinar si existe una intrusión. Las
más comunes son la red, los servidores o las aplicaciones.
°
Análisis:
El
componente
de
análisis
de
los
IDS
es
el
que
decide,
de
manera
“inteligente”,
si
los
eventos
recibidos
desde
sus
“Fuentes
de
Información”
son
indicios de una intrusión. Los
tipos de análisis mas comunes son
los de
“detección de mal uso” y “detección de anormalidades”
°
Respuesta: Este componente
realiza
un conjunto de acciones
una
vez que se
ha detectado
una posible intrusión. Son típicamente agrupadas en respuestas
pasivas o activas. Las respuestas pasivas, alertan al personal de seguridad de
la detección, pero no toman acciones automáticas, como sí lo
hacen los
sistemas que disponen de respuestas activas.
Según
el origen
de los datos que
se
analizan,
los
IDS
se
pueden clasificar como
[60]:
°
NIDS
(Sistema
de
detección
de
intrusiones
basados
en
red):
El
sistema
trata
de detectar un comportamiento no autorizado mediante la utilización de un
dispositivo de red
°
HIDS (Sistemas de detección de intrusiones basados en equipos): Estos
sistemas buscan patrones de comportamiento ilegal en los registros o en el
tráfico de red de una máquina.
°
Stack-based IDS (Sistemas de detección de intrusos basados en pilas): Es
una combinación de los dos sistemas anteriores.
En particular, los sistemas NIDS funcionan como “sniffers”, utilizando una interfaz
de red en “modo promiscuo”, leyendo todos los paquetes que circulen por su
segmento de red, y analizándolos. Las técnicas aplicadas por los NIDS son las
siguientes:
°
Verificación de protocolos, evitando los ataques por
violación de protocolos
IP,
TCP, UDP y ICMP. También pueden ser incluidas conductas válidas pero
sospechosas, por ejemplo, el envío de varios paquetes IP fragmentados.
°
Verificación
de
protocolos de aplicación,
evitando
los ataques de conducta
de
protocolo inválida, o conductas de protocolo válidas pero inusuales.
°
Creación de
nuevos eventos a registrar, extendiendo
las capacidades de
auditoría del software de administrador de red.
8.3.4 Contramedidas
Las contramedidas a tomar dependen de las vulnerabilidades y amenazas
detectadas. En forma genérica, se pueden dividir en tres grandes grupos [56]:
°
Medidas de Prevención
o
Servicios de autenticación e identificación (Firmas y Certificados
digitales)
o
Servicios
de
control
de
acceso
(Acceso
de
control
discrecional
“DAC”
-
Discretionary Access Control, controles de acceso obligatorio MAC -
Mandatory Access Control)
o
Servicios de separación (Firewalls, routers de selección u otros
mecanismos de filtros de paquetes)
o
Servicios de seguridad en las comunicaciones (Usos de tecnologías
criptográficas)
°
Medidas para la Detección
o
Detección
de
anomalías
(Mediante
análisis
estadísticos
se buscan
comportamientos
que
no
son
usuales
o
normales
en
el
sistema.
Puede
implementarse con IDS)
o
Detección de acciones ilegales (Analizando una serie de acciones no
permitidas trata de encontrar un patrón que pueda seguir el atacante.
Puede implementarse con IDS)
°
Medidas para la Recuperación
o
Procedimientos
de
registro,
auditoria
y
monitorización
(Caso
de
que
se
quiera seguir una investigación legal, para grabar evidencias que
ayuden
a
clarificar
cómo
sucedió
el
ataque
y,
si
es
posible,
por
quién.
Puede utilizarse los logs generados por un IDS).
Mister Wong
Portal para Investigadores y Profesionales
