Weblog de JaCkSecurity

Luego de validar la existencia de un incidente de seguridad, es mejor no pasar por alto ningún detalle y revisar más acerca de él. El seguimiento puede dar frutos mucho más relevantes que la existencia del mismo incidente.

Así sucedió con Google, luego de percatarse que los ataques que recibió desde China, no sólo lo recibieron ellos, sino además otras compañías americanas en China. En ese proceso de darle más seguimiento al incidente, concluyeron que el ataque tenía una cognotación mas bien política.

Cuando su personal de seguridad le advierta de un incidente, no lo deje en el inventario de vulnerabilidades por resolver solamente, dese un tiempo para preguntarse ¿por qué?, déjese llevar por la curiosidad “hágase más preguntas”.

“Follow your incidents”

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Se ha preguntado ¿por qué seguimos escuchando preguntas acerca de qué AV es más seguro, si siempre lo veremos con un obstáculo en la vida práctica de TI?

Si está por adquirir AV para su compañía, quizás deba replantear las preguntas acerca de los AV ¿qué es lo que realmente me sirve de ellos? o ¿para qué si sirve (además, claro, de estorbar un poco cuando se quiere instalar software)?

JaCkSecurity
Conocimiento, Conciencia y Consultoría

¿Y por qué no? Adjunto tiene los impresos guardados de ARBOR.

Reporte 1
ATLAS Attack Report_ Global Microsoft SQL Server version buffer overflow attempt

Reporte 2
ATLAS Country Report_ Global Peru

El ataque top citado es:
Global Microsoft SQL Server version buffer overflow attempt

¿Algunas razones?
- Servidores MS-SQL públicos ¿en OPTICAL IP y AMERICATEL? (poco probable)
- Otros ¿Cisco Call Managers? (después de todo, muchos administradores de comunicaciones temen parchar eso)

De cualquier forma el riesgo es bajo, pero demasiado tendador para quien quiera practicar con esas IP. De hecho, quizás se trate de servidores desatendidos. Un festín para un carroñero newbie.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

“Aquí una historia personal”

En ISC, se presentó un interesante debate acerca de tener o no un plan de respuesta para incidentes de seguridad específicos (virus, DDoS), etc. En mi opinión personal, creo que todos los comentarios dejados tienen puntos acertados de argumentación. Sin embargo, en la práctica, no sirve de nada si se tiene un plan específico, general o no se tiene nada, si primero no se tiene un IRT.

Un “Incident Response Team” es la autoridad durante el incidente. Es como iniciar tu propia nación, poner a los ciudadanos, crear viviendas, añadirle leyes para decirles cómo guardar el orden, pero olvidarte de aclarar quienes serán las instituciones que decretan y procuran el orden en la práctica. En la conferencia de COLARIS 2007 en Lima – Perú, oí de la historia de un rico que creó una nación, en medio de una especie de coral (rellenando el mar con tierra) se aseguró que registrarla y hasta de tener el reconocimiento de países importantes. Sin embargo, su vecino más cercano, decidió colonizar esa isla y hacerla parte de su territorio, con lo que el excéntrico millonario perdió su pedazo de tierra.

En la mayoría de organizaciones formales (con una política y jerarquías claras), no hace falta crear muchos planes, para saber que cuando sucede un incidente se debe responder a él. Lo que sí suele faltar es saber a quien responsabilizar la función de responder al incidente. Aunque durante el incidente el gerente puede delegar a uno (cualesquiera), esa persona podría perder poder político, sea por conocimiento o por convicción, acerca de cómo salir del problema, y hacer las cosas peores.

Por eso, si con anticipación se da carta específica (como función laboral), a un grupo de personas o una persona, para responder a incidentes de seguridad, ellos, pues, buscarán los mejores mecanismos para anticiparse, en la medida de su estrategia de respuesta, y los recursos de los que dispongan. A fin de cuentas, el recurso más importante siempre será el tiempo.

Quien escribe, hizo eso hace una década atrás para tener autoridad sobre los incidentes de una red. Junto a otro colega, redactamos una política de operación del IRT, con jerarquías, funciones, horarios, nexos de comunicación, sistemas informáticos, en fin todo lo que se podía desear tener “en papel”. Como sabíamos que ese tipo de auspicio (para manejar nosotros el incidente) no se conseguiría fácilmente, sólo esperamos que se produzca un incidente de repercución (antes del incidente, tiempo es lo que sobra), para asaltar el escritorio de gerencia y pedir que se nos apruebe el permiso de tomar autoridad sobre todo incidente de esa índole. En general, todos los incidentes tienen repercución visible, es decir que otros te ven. En general, todos los incidentes atraviesan las funciones laborales de otros, y eso implica tener poder para.

Por lo tanto, no se moleste mucho con planes específicos, sino cuenta siquiera con un plan maestro. Desarrolle el plan maestro como un pasatiempo, y con la promesa de tenerlo con coherencia, bien presentado y listo, para mostrarlo a gerencia y tener su venia, para que sea el PLAN, y/o Ud. el líder de RESPUESTA A INCIDENTES.

No pierda tiempo con planes específicos, si primero no hay un líder para el PLAN MAESTRO. Si nadie se ha molestado con el tema, y Ud. cree ser el elegido, pues comience a trabajar la versión MAESTRA, más adelante tendrá cómo orquestar planes específicos.

Considere conocer nuestro servicio JaCkHaCk-Alert!, un servicio que le ayudará en el proceso de dominar su IRT (Incident Response Team), y crear IRP (Incident Response Plan) en cantidad o en calidad. La filosofía ejecutiva la pone usted, nosotros el material. Solicite una visita de JaCkHaCk-Alert!

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Una técnica para un buen programa de concientización sea del que fuere (p.e. seguridad), es la “meter al inducido en el zapato de otro”. Funciona muy bien, aún para los más reacios. Aunque esta sea una técnica de aplicación a muy largo plazo, es probable que con una buena realización cinéfila, se logre algo similar. Después de todo, cuando una película cautiva, logra que el espectador se identifique con el personaje central, y hasta termine sintiéndose como él o ella.

Aquí tiene un buen ejemplo de cómo involucrar a la audiencia, y ponerlos en unos pocos minutos en el zapato de quien queremos que éste.

Advertencia: el video contiene imágenes muy fuertes.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

A consecuencia de las múltiples formas de aprovechar la funcionalidad del protocolo ICMP para el proceso de hacking, muchos administradores de TI y de red han optado por radicalizar su bloqueo hasta extenderlo a los mismos sistemas end-point (servidores Windows, Unix, etc).

A pesar de esa práctica, los especialistas en internetworking saben que eso es un problema que no debe ser combatido, sino mas bien asimilado (aceptado). De hecho, los riesgos con ICMP no sólo se dan con su funcionalidad, sino, también, con su implementación perse (lo que lo hace doblemente más antipático). “buenos catalizadores para detestarlo, a simple vista”, pero mejor veamos la historia de:

El día que ICMP salvó la red

“icmp_redirect_packet” es un paquete creado por un sistema para advertir a su destinatario que la ruta principal ha variado en la red. Saber que eso es posible, ha provocado la preocupación de una brecha facilitadora para un posible ataque de MiTM (man in the middle) en la LAN (el único lugar donde tiene efecto). De hecho, si busca en la Google, hallará que casi todos los sistemas operativos modernos aceptan cambiar su tabla de rutas al recibir ese paquete ICMP. Igualmente, verá que desactivar esa opción tampoco es gran reto, y parece ser la práctica de algunos administradores de sistemas (de hecho fue la mía hace 10 años atrás).

Sin embargo, el presente año (2009) mientras nos encontrábamos atendiendo un probable incidente de seguridad con uno de nuestros servicios de respuesta a emergencias, descubrimos algo fascinante. La red bajo análisis reportaba una alta latencia en las comunicaciones LAN, y un gran defecto en la apertura de las aplicaciones y su operación con consultas de base de datos. Luego de descartar la supuesta presencia de un gusano (de esos que agotan los equipos), observamos decenas de paquetes ICMP_REDIRECT actuando cuál si fueran abejas, para reconstruir las rutas de cientos de hosts, a los que el host aceptante (un servidor central Windows) no podía llegar porque tenía la ruta equivocada.

De no haber sido porque ese servidor central de S.O. Windows aceptaba (por defecto) ICMP_REDIRECTs, los hosts que se conectaban a él no habrían jamás podido llegar a establecer comunicación alguna, y la red habría tomado más tiempo en repararse.

Nuestro análisis y fabuloso hallazgo se dio durante una intensa situación en dicha LAN, en una semana en que la misma se encontraba migrando a nueva y más veloz tecnología de interneworking LAN. Durante esa migración apareció una nueva ruta, que provocaría la dislexia al servidor Windows, de no ser por un router bondados que emanaba gentilmente ICMP_REDIRECTs, que él aceptaba con igual gentileza. Aunque este es sólo un pequeño ejemplo del poder de ICMP, en nuestra trayectoria hemos visto muchas otras veces en que ICMP ha demostrado ser útil, por sobre la agenda de seguridad.

Ahora que le presentamos el potencial que tiene el invento de Jon Postel, saltará al tapete la crítica aguda respeto varias oposiciones a ICMP, como el bloqueo de paquetes ICMP_TIME_EXCEEDED en la Internet de algunos proveedores. Esa práctica impide supuestamente que un atacante pueda mapear la red, aunque también lo hace con sus usuarios convencionales (Hasta aquí, si quiere saber qué bloquear o no bloquear en ICMP, le sugerimos visitar a nuestros amigos de TEAM CYMRU)

Recuerde esto, la seguridad es, a veces, como contrapeso. Mucho contrapeso, puede hundir al barco. Si no es flexible con el trabajo de ICMP, sin duda se sentirá más seguro, pero un buen día podría lamentar no tener a este salvavidas de la red.

Quién creó ICMP

ICMP fue creado principalmente por Jon Postel, también considerado por los noventa, como el “dios de la red“. Jon postel también creó parte de la operación del famoso protocolo DNS. A pesar de lo que se diga de los defectos en la lógica de seguridad, la comprensión de Jon acerca de la red ha sido de mucho provecho para la operación tan transparente de la que gozamos hoy. Sin trabajos tan silenciosos como el suyo, es previsible que la tecnología de Internet y los negocios montados en ella tendrían varios años de retraso a comparación de la actual. Si sólo se comprendiera mejor su famoso “principio de robustez” los sistemas y la seguridad de la información podrían ser una mejor propuesta a la que hoy conocemos.

“Be liberal in what you accept, and conservative in what you send” (Jon Postel)

La buena seguridad implica equilibrio, y el equilibrio implica conocimiento profundo. Aventurarse a coger lo primero que le ofrece el medio corriente, podría ser un futuro error a lamentar.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Lo prometido es deuda, aquí el post que le sigue al de la semana anterior.

La teoría dice que el valor de confidencialidad de la información debe reducirse con el pasar el tiempo. Ello implicaría pasar un documento o data de super secreta -a- pública o sin valor sensible, en cosa de años. Sin embargo, un caso curioso nos haría pensar lo contrario. [Luego de leer el enlace señalado, continué abajo.]

A pesar de que el sentido común nos dice que los custodios de esa información tuvieron parte de responsabilidad en no proteger los datos divulgados (notas estudiantiles), un análisis más calmado nos podría dejar una lección aún más valiosa.

Si observamos con mayor paciencia el citado caso, notará que la información filtrada no habría tomado la misma cognotación de destape mediático de no haber sido por la misma regla que la forzaría a protegerse, vale decir, la promoción de una valla profesional (ley tercio superior) por parte de alguien con una valla reprensible en su pasado estudiantil.

Esto significaría que información con décadas de devaluación puede reactivarse a un valor más alto de sensibilidad por causa del mismo dueño de la información. La causa de ello, sin embargo no es una previsible falla en la gestión o clasificación de datos (del owner), sino mas bien una más intrínseca a los seres humanos, la codicia. Una codicia generada por mantener una reputación intachable (no del divulgante, sino del mismo dueño de la información).

En suma, la codicia de un information-owner genera codicia, y expone a la información a un riesgo innecesario o mayor. Este es el consejo que le damos:

Si tienes un control de seguridad, haz lo que escribes (procedimientos), y escribe lo que haces (en la práctica). Si hay algo que no haces, no lo pongas, esa codicia te estropeará la reputación, quizás, la moneda más importante del mercado laboral y empresarial.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Si googlea un poco hallará la respuesta del acertijo señalado en el título de este post. [Luego de ello, continúe leyendo.]

Si la verdad envuelta en el acertijo está en lo correcto, piense de esta forma: mientras más complejo y enmarañado se pueda convertir a un sistema, más díficil será que alguien lo pueda comprender, y así los secretos (buenos o malos) estarán mejor guardados.

A partir de aquí nos preguntamos ¿existirán sistemas así?

Probablemente sí, se dice que a la SEC le hubiera tomado unos 10 años en detectar el fraude de Enron (a través de las auditorías convencionales), y no precisamente porque la segunda no le proporcionara suficiente información, sino, más bien, por que el volumen de ese tipo información ha sido tan extensa, que se ha convertido en lo suficiente enmarañada para procesarla en tiempo real.

Entonces, es posible que la seguridad de cierta información confidencial no sólo se pueda proteger ocultándola, sino también, exacervándola. Por el contrario, el levantar muchas vallas de protección alrededor de la información podría incrementar la codicia por revelarla (ver próximo post).

Como lo señalamos en nuestra exposición “Seguridad en Tiempos de Crisis”, en el II Simposio Internacional de Redes y Comunicaciones de Datos”, la tendencia mundial de la transparencia está creciendo. Si tiene proyectos de cifrado en curso, estos podrían terminar siendo un absurdo y hasta una peligrosa maniobra para su reputación como gestor, si no comprende del todo los beneficios de mostrar vs. ocultar.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

¿Deseas ser un “GIAC Certified Incident Handler”?

Te enseñamos cómo.

Recientemente, supimos de personas interesadas en que se reabra la mentoría SANS SEC 504, la que tiene el ticket de viaje a la certificación GCIH. Si Ud. es uno de los interesados, escriba una correspondencia a info[@]jacksecurity, con el subject “GCIH”. Estaremos gustosos de promover una vez más la mentoría SANS SEC 504, por segundo año consecutivo.

¿Por qué querría ser un “GIAC Certified Incident Handler”?

Primero que todo, por que los tiempos están demostrando que es la mejor interfase entre los problemas que casi nunca suceden, con los que de todas maneras suceden.

Segundo, porque las referencias de “word-of-mouth” así lo dicen (sin truco publicitario de por medio). Aquí, copiamos una sección del diario peruano América Sistemas, para que nos pueda entender mejor.

América Sistemas, Noticiera Digital Nro. 480
Los galones de TI

La semana pasada, lanzamos una inquietud de un lector a punto de egresar como ingeniero de sistemas de una reconocida universidad.
La pregunta era que además del título, de qué otro bagaje académico debería tener para entrar a competir exitosamente en el terreno laboral.
Bien… Nos escribe un lector desde tierras norteamericanas y nos dice lo sgte: “Una de las maneras es a través de las especializaciones que se van adquiriendo con el correr de los años. Para especializarse entonces hay un método muy práctico: Las Certificaciones, los benditos galones que todos queremos tener y que luego nos abren las puertas de las oportunidades” pregunta, “Cuáles son aquellas especializaciones que tienen mayor demanda?, bien, Network World publicó un artículo en el que se habla de seguir entrenándose en una economía tan difícil como la que vive USA, yo he rescatado una parte de ello que tiene que ver con las Certificaciones mas solicitadas según un ranking publicado por Foote Partners. A continuación las detallo:
GIAC Certified Incident Handler
EMC Proven Professional Technology Architect – Expert
Citrix Certified Integration Architect
HP Master Accredited Systems Engineer
Cisco Certified Secutiry Professional
Check Point Certified Master Architect
GIAC Certified Forensic Analyst
GIAC Certified Intusion Analyst
EMC Proven Professional Implementation Engineer – Expert
GIAC Certified Incident Manager
visitar: http://www.footepartners.com/htscpi_latest.htm

JaCkSecurity
Conocimiento, Conciencia y Consultoría

En nuestra videoteca, contamos con una copia original del film polaco “Sekret Enigmy“, casi una rareza, que se puede conseguir, por ejemplo, en el Spy Museum (Washington, DC). A diferencia de otro film al parecer menos verídico “Enigma” (pero más ubicable), el primero describe los hechos que acontecieron en la invasión alemana a Polonia, y la participación decisiva de los matemáticos polácos para descifrar de manera temprana los mensajes de sus invasores.

No es un superfilm, pero lo justo y necesario para conocer -como especialistas de seguridad- algo de historia detrás del cracking de la Enigma Machine y para defender la reputación de quienes denunciaron recientemente la falsificación de la historia, durante el conmemorativo de los 70 años del comienzo de la II Guerra Mundial.

Dato importante de un website Polaco: “Poles were able to crack the initial code and the later more complicated versions, they even built the machines which allowed to search for all possible combinations in a couple of hours.”

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Según Twitter, su sistema no está funcionando correctamente porque se hallarían bajo un ataque DOS.

Las dudas saltan por todos lados. Incluso ISC ha dejado un post, indicando que no está seguro de haber visto dicho DOS, imaginamos que lo dicen por su capacidad de monitoreo y sus contactos en la red. Eso crea suspicacias. Suspicacias, como que Twitter no está diciendo la verdad. [En el pasado un ISP mintió estar bajo ataque y por eso cerró operaciones, cuando en realidad era que había cerrado operaciones porque estaba en crisis organizacional interna]

Ante esta suspicacia, no debemos olvidar que un DOS no necesariamente debería ser visto por todos con visibilidad (es decir, quienes monitorean el comportamiento de sus backbones, blackholes, listas de routing, etc). La razón es porque un DOS puede venir de un sólo lugar (y lograr su cometido al explotar una vulnerabilidad que sature ciertos o todos los procesos del servicio), y no ser percibido como tal, porque luce como una comunicación normal. A diferencia de un DDOS que sí es notorio, porque viene de múltiples lugares en tiempos muy delatantes.

Sólo sabremos si Twitter dice la verdad, si al final de este problema liberan información del ataque, algo que debería de hacer dado que muchos -hoy- dependen de sus sistema.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

En la antigüedad, la cultura judía tenía una tradición religiosa bastante severa. Consistía en castigar con el apedreamiento a los hijos contumaces y reveldes, seguramente con el fin de desarrollar el respeto a la autoridad, con el fin de no sembrar el mal ejemplo, o quizás con ambas.

Esta semana que transcurrió, una noticia acerca de un estudio en USA/Reino Unido citaba así “Los administradores de TI no respetan la información privilegiada de la empresa”. ¿Un problema serio no es así? Aunque difícil de creer, en el título de esa noticia se halla la respuesta al problema planteado en ella. Si le anhela ser un buen líder de seguridad, medite unos minutos, lo citado a continuación:

Si un general se muestra demasiado indulgente frente a sus hombres, pero es incapaz de utilizarlos; si los quiere, pero no puede conseguir que sus órdenes sean cumplidas; si las tropas están desordenadas y no puede hacerse con ellas; pueden compararse a los niños mimados y son inúteles… Si solamente se manifiesta la benevolencia, las tropas se hacen como niños arrogantes y son inutilizables por esta razón.
Capítulo X, El arte de la guerra (Sun Tzu)

Para los filósofos, el respeto es una actitud que nace con el reconocimiento del valor de una persona. En ese sentido, la raíz de un administrador de TI que no respeta la información de su empleador es “la inexistencia del reconocimiento del valor de su empleador”, más precisamente de su superior. Ese reconocimiento no se produce sólo, debe ser sembrado. En consecuencia, la solución del problema está en provocar el respeto desde el inicio. Un general y un gerente saben que el respeto no emana por sí solo. Así, una compañía con un pobre liderazgo gerencial hacia el área de TI, sufrirá desastrosos desenlaces con su seguridad.

Por esa razón, en la actualidad la seguridad de la información ya no puede ser vista más como un simple problema de con cuánta tecnología de seguridad cuento (eso lo saben todos los que leen este blog, precisamente por eso lo leen).

Al leer lo que se escribió en un antiguo libro de guerra, citado arriba, puede ver que la seguridad es mas bien un problema de cuán bien nuestros gerentes guían el negocio, En consecuencia, el líder de negocios que continúa delegando ciegamente la seguridad a los responsables de seguridad es un INCONSECUENTE, vale decir, no le importa la compañía (ni tampoco su carrera al ascenso). El delegarla no manifiesta per se la siembra del respeto la patrimonio de la compañía, incluso hasta puede significar el consentimiento directo del egoísta desarrollo personal.

Un buen gerente debe entender que la seguridad llegará a ser un nuevo activo de creciente e inmesurable valor en su compañía, del que vivirá y confiará por el resto de años, para proteger la Confidencialidad (de la información estratégica, de la privacidad de sus clientes), la Integridad (de la información entregada, procesada y recibida), y la Disponibilidad (de la información oportuna y ubicúa).

Por ello, la solución al problema de la seguridad debe desarrollarse y revisarse desde la mesa del comité de directorio de los viernes, con rapidez y precisión, es decir ahora. Aunque en principio esto representa una tremenda (y sin duda desgastante) oportunidad para los administradores y jefes de seguridad TI o de la información con vocación gerencial, no es necesario esperar a tanto para reducir esa brecha. Una posible forma es utilizar las buenas (del gobierno de la seguridad de la información) propuestas de instituciones como ISACA e ITGI, para generar honestos parámetros de medición de la seguridad la información de la compañía que los líderes empresariales puedan manejar, y así convertir la seguridad en su nueva agenda laboral, profesional y personal.

Más información: Si desea conocer el estudio, que al respecto ha desarrollado JACKSECURITY, asista a la próxima charla de seguridad de ISACA, Lima – Chapter (24 junio 2009)

JaCkSecurity CTO
Conocimiento, Conciencia y Consultoría

En los últimos meses, el Perú ha sido testigo de un desfile increible de artístas en variados conciertos ... Mientras el promedio se pregunta, qué estrellas de rock faltaban pisar el escenario peruano, el nombre Bruce Schneier es la nueva expectativa, esta vez para deleite de la selecta comunidad de la seguridad de la información.

Así lo dice la revista en inglés The Register: Bruce Schneier “The closest the security industry has to a rock star”.

Para evitar ser neófito del enfoque especial que tiene Schneier, sígalo desde ahora antes de su próxima venida, en el II Simposio Internacional de Redes y Comunicaciones de Datos..

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría