Archive for January, 2009

Monitoreo de red en tiempos de…

Thursday, January 22nd, 2009

https://isc.sans.org/portascii.html?port=8247&start=2008-12-22&end=2009-01-21

En el 2006, JaCkSecurity tuvo el privilegio de participar y asistir al I Simposio de Redes y Comunicaciones de Datos, organizado por la institución educativa TECSUP. En aquella ocasión Johannes B. Ullrich Ph.D, en su ponencia magistral, nos dejó una importante lección para quienes monitorean su red perimétrica, con sus IDS (alertas) y Firewalls (logs).

Johannes, quien es el creador original del sistema DSHIELD (un sistema empleado por el Internet Storm Center, entidad que es parte de The SANS Institute), nos enseñó que debíamos contrastar los eventos TOP de tráfico por puerto registrados en DSHIELD o ISC con los de nuestras redes.

Al contrastar lo observado en DSHIELD con los registros de nuestras redes, podíamos (señalaba Johannes) determinar si una incidencia hacia un puerto local nuestro era producto de ataque masivo (no dirigido a nosotros) o un ataque directo, es decir uno que sólo busca trasgredir nuestra red. Ello ayudaría a un analista de detección de intrusos reconocer qué eventos locales deben ser los más relevantes para analizar.

Toda vez que DSHIELD registra puertos de creciente global, nosotros podríamos aislarnos imaginariamente de los eventos con dichos puertos para ver el resto de alarmas de nuestro IDS o Firewall perimetral. No obstante, recientemente, otro miembro de ISC hizo otra observación también válida, luego de recibir reportes de incremento importante en el puerto UDP/8247 (producto de la Inauguración del presidente Obama): Sería muy sencillo para un intruso ocultar sus acciones en este puerto, si decidimos simplemente ignorarla.

Lo escrito anteriormente amerita un resumen de ideas, antes de provocar la confusión en el público, y es que ambos argumentos son totalmente válidos, lo importante es el orden con que se tome. Para rapidez en la lectura de sus registros de eventos de IDS, sea que en tiempo real (casi) o no, la propuesta de Johannes es la primordial, puesto que nos permitirá concentrarnos en lo que más nos importa: es decir, nuestra red, la joya de la corona. Luego de revisar todos los eventos elevados diferentes a los globales (como los arrojados por DSHIELD), procedemos a revisar ese evento global en nuestra red y a indagar si tiene correlación lo más exacta posible, por ejemplo, el pattern de 1043 bytes.

El monitoreo de red es una labor permanente. Para los más expertos, lo anterior podría hacerse en simultáneo o a la inversa. Si desea ser asesorado en esta actividad de seguridad, no dude en ponerse contacto con nosotros, gustosos le atenderemos.

jaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Los hackers también opinan de política

Tuesday, January 20th, 2009

Esta es la portada de la revista hacker 2600, en su más reciente edición trimestral.


Pedirles que no hagan esto, sería como perdirles negar sus orígenes.

Todo indicaría que su editor, el mismo que fundó 2600, aún conserva el estilo de antaño.

Staff
jaCkSecurity
Conocimiento, Conciencia y Consultoría

¿Debería regularse la interceptación telefónica?

Friday, January 16th, 2009

O mas bien, ¿se puede regular algo como eso?

El diario El Comercio señala en una de sus ediciones la siguiente declaración de un especialista en temas legales:

“es necesario un marco legal que regule el accionar de las empresas de seguridad privada en este tipo de servicio, además del control del equipamiento que estas tengan.”

Las preguntan que sobran son:
1. ¿por qué habría de permitirse a una empresa (la que fuere) interceptar una comunicación privada fuera de sus instalaciones, si eso implicaría un delito en sí mismo? Si se tratara de ayudar en el secuestro de una menor o similar, ¿no se usaría un simple anexo doméstico para eso, y que jamás tendría que ser oculto de cara a quien es obscultado (la familia sometida al secuestro de su (digamos) hija?

2. O ¿por qué una organización habría de contratar a terceros para escuchar comunicaciones de sus empleados (asociados), si eso se puede hacer sin mayores recursos y con tecnología propia (PBX propia), aún sin violar su privacidad? Asumiendo que el empleado ha firmado una aceptación “previa” y expresa de que permitirá la fiscalización de sus conversaciones telefónicas, el empleador no podría interceptar sus comunicaciones sin advertírselo previamente.

3. En suma, ¿por qué si la interceptación telefónica viola el derecho a la privacidad, por qué se habría de regular estos actos, a empresas que quieran practicarlo?

Quizás, para lo único que podría ser útil una regulación, es para probar la calidad de distorsión provocada por un sistema criptográfico que cifre las comunicaciones de canales de audio.

Dejamos la pregunta inicial a los expertos en el tema y a la opinión de nuestros lectores.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

El software seguro como un indicador de la madurez empresarial en seguridad, un cambio con retos ocultos

Tuesday, January 13th, 2009

El costo de oportunidad prima
Las compañías más grandes de la industria del software ya inviertien notablemente en mejorar el diseño y desarrollo de sus productos para que sean más seguros. Ellos en el pasado no habrían invertido nada o casi nada por una sóla razón: el alto costo (remárquese: compañías más grande de software). Hoy se trata, mas bien, de cuánto me costará no haber invertido en eso de un inicio.

Expresando su madurez
Ese alto costo, es el mismo que todas las compañías promedio (que invierten en TI), han procurado evitar en los últimos años con respecto a varios aspectos de la seguridad informática y de la información. No obstante, las cosas ya no son tan fáciles de eludir, pues sus negocios dependen más y más de la versatilidad de los sistemas (software). Hoy, el grueso de problemas viene por ese lado. Las aplicaciones web son, en esta materia, un notable ejemplo, aunque no el único. Estas últimas, han recibido toda la atención de los fabricantes de productos de seguridad para este 2009, como la principal fuente de amenazas. En tal sentido, si una organización con una app. web pública ha decidido mejorar la seguridad de su código, está expresando su madurez, aunque ello puede significar otros retos todavía desconocidos.

El proceso hacia el código seguro
Para una compañía rehusar a asegurar su código en la web, es como tratar de tapar el sol con un dedo. Sin embargo, no son estas las que tendrán que mejorarlo, sino los ingenieros de desarrollo, que deberán estar al nivel de poder hacerlo. Es decir, si un proveedor de desarrollo no está a nivel de hacerlo, el proceso de eliminar la debilidad, tendrá que ser postergado “antipáticamente”. Sabemos que a ningún empresario dueño de una app web y con fondos ($) en mano, le agradará oír de su proveedor de desarrollo que, éste, es incapaz de reparar el error de seguridad hallado por un grupo de pentesters, o quizás por reportes de intrusiones web virales u hallazgos accidentales de clientes y amigos, porque simplemente no tiene personal para eso.

Contramedidas para ahorrar invertir, o para -la nada dulce- espera
Felizmente, no todo estará perdido, siempre habrá alguna manera de apalear la situación. Conviene estudiar alguna contramedida temporal para cualquier impase similar. Por supuesto, las contramedidas no tiene su equivalencia en la seguridad más adecuada, así que debe ser estudiada su conveniencia por un tiempo adecuado.

De cualquier manera, la sola presión de los clientes dueños de una app web hacia sus proveedores, será un signo claro de la madurez empresarial por la seguridad. Ajeno a esto será la crisis financiera o cualquier otro factor global. Se trata simplemente de algo que los líderes de negocios ya no quieren dejar para después, pues ya lo han dejado de lado muchos años en el pasado, y hoy por hoy, mucho de su negocio depende de eso. Un signo claro de esta madurez, ya lo dan los grandes proveedores de software, aunque no todos por supuesto. (Ej. Existe una compañía fabricante de equipos de telecomunicaciones que no posee siquiera un URL para distribución de parches / updates / fixes, o un URL /security para un centro de respuesta a incidentes)

Como primera conclusión, la próxima vez que contrate un desarrollo, consulte si el staff tiene el nivel para hacer un código más seguro, sea que puede o no pagarlo en ese instante. Por supuesto, lo mejor será invertir pensando en seguridad desde el inicio.

He aquí el reto
A pesar del significado de la madurez por mejorar el código, es lamentable que los resultados de estas inversiones no sean del todo bien recibido por los más afectados, los usuarios. Al respecto, usted bien sabe, que una de las funcionalidades más criticadas de Windows Vista (un sistema operativo del que decenas de artículos lo bautizaron con características de “más seguro”) es precisamente, lo que lo hace más sólido en cuanto a seguridad. Si esos mismos usuarios de Windows, hubieran sido usuarios de Linux, quizás hasta se hubieran alegrado de que algo como el UAC User Account Control exista en su Windows Vista. Por supuesto, Windows Vista, tiene otros problemas menos famosos, pero más legendarios en los Windows que lo hacen poco agradeble, pero eso no es tema de este post.

Hay quienes pensarían que Windows Vista, es el gran error de Microsoft. No obstante, todo gran error, trae consigo una lección que bien reciclada, beneficia considerablemente a esta de sus competidores en la industria del software, no necesariamente en la industria de los sistemas operativos. La aceptación inmediata del UAC optimizado de Windows 7 hablará de cuál bien capitalizó Microsoft las críticas al UAC de Windows Vista, si es que existiese -de verdad- una mejora con relación al usuario.

Un buen año para los coders con background en seguridad, pero aún mejor porvenir, para los códers con experiencia pos-servicio
En suma, es previsible que en el transcurso de este y el próximo año, veamos decenas de cientos de proyectos de rectificación de código para un código más seguro, tanto en aplicaciones internas (extranets basadas en app web) como en aplicaciones públicas. Sin embargo, no es tan previsible, que estas mejoras traerán consigo nuevos e inquietantes problemas que aún no hemos visto del todo, pero que definitivamente serán motivo de una estrategia de seguridad más completa aún. Una que no podríamos pretender ahora (2009), porque elevaría los costos a un nivel inaceptable. Por ello, es que hablamos que este situación de mejora expresa una etapa en la carrera hacia la madurez de la seguridad en los líderes y sus organizaciones.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Lecciones para meditar: Activos intangibles mal valorados y sin monitorear

Tuesday, January 6th, 2009

A quien no le pasó alguna vez que, al navegar en internet, se equívoco al escribir la dirección de la web de la empresa, banco, mail o portal al que quería visitar y el ‘browser’ cargo una pagina simple con links de publicidad; aquella página a la que accedimos era un ‘domain parking’ (dominio utilizado por los domainers para publicitar otros dominios mientras espera ser comprado). Lo interesante de esta situación es el nombre de dominio erroneo que escribimos, conocido como ‘TYPO’ (error tipografico al digitar el nombre de un dominio en la barra de direcciones); el negocio del ‘typosquatting’ (registrar variantes muy parecidas de los nombres de dominio de empresas) es muy lucrativo, ya que utiliza la imagen creada de una empresa para generar dinero y a la vez afectar la imagen de la empresa perjudicada, existen casos en que un cliente que ingreso a la pagina web equivocada se lleve una decepción y no vuelva a ingresar nunca más a nuestro portal, y como este usuario, muchos otros.

Recientemente la compañía Verizon gano un juicio contra la compañía registradora de dominios OnlineNIC, debido a que está ultima tenía inscrito un alto número de ‘typos’ de la empresa aludida incialmente. OnlineNIC deberá pagar a Verizon una indemnización del orden de los 30 millones de dólares por abuso de marca registrada. La noticia citada nos trae una reflexión respecto a los dominios como un activo de la empresa, cuyo valor es dificil de calcular (inicialmente).

Piense que el nombre de dominio es un elemento importante del marketing empresarial, aunque muchas veces “subestimado” por el costo que este significa para la compañía ($35/año, en el caso del Perú). Su principal importancia podría radicar en que este es el vehículo, por el cual su organización es conocida en internet. Detrás de su nombre de dominio podrían haber varios años de arduo trabajo e inversión para hacerse con el reconocimiento de los clientes.

Por ovbias razones es necesario proteger la singularidad del nombre de dominio que posea nuestra compañia. Una opción podría consistir en (1) registrar el nombre de dominio en la WIPO (World Intellectual Property Organization) y (2) monitorear internet en busca de typos para compralos y redireccionarlos a nuestra web. Una muestra de lo segundo, lo ofrece este sitio: ‘www.domaintools.com’.

Evalúe el riesgo y monitoree sus activos (lo anterior fue sólo un ejemplo), de lo contrario la próxima vez que el jefe de marketing mande una memo contra su departamento de TI, por todos los problemas explicados arriba, no se sorprenda. Si no nos cree, pruebe con el nombre de dominio del banco más conocido de su país en ‘www.domaintools.com/domain-typo’ (en el caso del Perú, uno de los bancos más conocidos tiene en promedio 25 ‘typos’).

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría