Archive for the ‘Detección’ Category

¿Por qué necesito ayuda durante un incidente?

Tuesday, December 28th, 2010

“(…) roba recursos a la memoria operativa y los envía a otros centros cerebrales, a fin de mantener a los sentidos en hiperalerta, actitud mental hecha a medida para la supervivencia. Mientras dura la emergencia, el cerebro vuelve a las reacciones simples y bien conocidas, apartando el pensamiento complejo, la captación creativa y la planificación a largo plazo. (…) Si bien el circuito de emergencia evolucionó hace millones de años, en la actualidad experimentamos su operación bajo la forma de emociones inquietantes: preocupación, ataques de ansiedad, pánico, frustración e irritación, enojo, ira.”. (Goleman: 1999: 101)

Conozca más de nuestro servicio:

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Acerca del documento ‘Fake Access Point’

Monday, April 20th, 2009

Es probable que alguna vez haya leído que quien rompe un sistema no demuestra tener habilidades comparables a las que posee quien lo asegura (en el sentido de menor mastering para el primero) (¿tema controversial? Posiblemente, sí). Como sea, al parecer esto -también- podría plantearse cuando se quiere que la seguridad sea quebrada desde el pellejo de un criminal vs. el de un pentester (en el mismo sentido de menor mastering).

Si Ud. es un buen observador del peso de la privacidad, descubrirá a qué nos referimos cuando lea nuestra nueva publicación “Fake Access Point“, acerca de cómo crear un access-point falso, para un ataque de MITM (man in the middle).

De cualquier manera, si tiene cómo defender “legítima y legalmente” las consecuencias de sus actos (por hacer o contratar un ataque de esta naturaleza), sabrá que hacerlo tiene mucho sentido. La razón fundamental es la predisposición de las personas con objetos portátiles (laptops, principalmente) de conectarse a redes inalámbricas próximas.

Sólo pregúntese:

A qué usuario no le apetece tener acceso a Internet, libre de las restricciones de seguridad que le imprime la política de seguridad de la compañía y de esos filtros de contenido, que Ud. mismo impuso.

Lo curioso es que la anterior sentencia no es sólo cierta para usuarios convencionales, también lo es para profesionales de tecnología ligados a la seguridad. Tal y cómo lo compartimos -a los participantes- al final de un taller de seguridad, nuestro team realizó un estudio (coordinado) para conocer cuántos de los que eran propensos a conectarse a cualquier access-point, tenían puertos de servicio abiertos (listening) en sus sistemas. El resultado fue 60%.

Ahora súmele a ello, lo que Jonny Lee Miller, en el papel de Dade Murphy (película Hackers), dijo:

“if we were gonna some heavy metal, I’d, uh, work my way through some low security, and try the back door”

Sin duda, robar credenciales a los sistemas heavy metal desde los más indefensos (los usuarios WiFi), puede ser deliciosamente provocador desde la perspectiva de un criminal, bajo el abrigo de la ilegalidad; pero a la vez, tremendamente retador desde la perspectiva de un pentester, a quien podría irle muy mal si se acoje sólo a las habilidades del primero.

Por ello, podemos concluir, que probar la seguridad vía la figura de un pentester puede no ser siempre lo mismo que para un criminal informático, desde las habilidades técnicas puras.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Earth HOUR: un asunto de seguridad nacional

Wednesday, March 18th, 2009

PROPUESTA A APAGAR LUCES DESDE LAS 8:30 PM – 9:30 PM DEL SÁBADO 28 MARZO

VOTE EARTH Existe una noticia antigua, y aún persistente propaganda acerca del cambio climático que afirma, que el Perú es el tercer país MÁS VULNERABLE del mundo al cambio climático (luego de Honduras y Bangladesh). Una afirmación similar y posterior, también, es hallada con facilidad en otros sitios de noticias.

Aunque no tuvimos suerte de localizar la fuente original del informe del Tyndall Centre, deberíamos asumir responsablemente el potencial riesgo de la amenaza del cambio climático por la incapacidad de recuperación que tendremos luego.

Por supuesto, visto desde un puro enfoque de gestión, un riesgo sin una vulnerabilidad fielmente documentada no debería incomodar mucho en la mente de un dueño de negocio, especialmente si posee más de una empresa y, además, sólo una de ellas es propensa a cierto riesgo (cuya vulnerabilidad no está bien documentada y cuya amenaza tiene aún sus controversias). Pero, la realidad es que no somos dueños de más de 1 planeta tierra, sólo contamos con uno. Desdee ese otro enfoque, la tolerancia al riesgo es una neglicencia y una mala práctica per se.

Para subir la temperatura de la emoción y conmoción, deberías sumarle provocadoras noticias. En una, se señala que la Economía peruana entre las más vulnerables por cambio climático, según científicos; y en la otra, que China, India y Perú serán las economías de más alto crecimiento en el 2009.

Por supuesto, esto no es un llamado para que nuestros colegas gestores de riesgo pugnen el liderazgo de este proyecto social al interior de sus organizaciones, de ninguna manera. Es tan sólo el fluir social de parte de la ética que profesamos.

Por ello, consideramos que el proyecto EARTH HOUR es un asunto de cultura de seguridad para las generaciones futuras, que empieza con nosotros en este siglo, en estos años.

Si quiere saber más de EARTH HOUR 2009, por favor visite el website.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

El software seguro como un indicador de la madurez empresarial en seguridad, un cambio con retos ocultos

Tuesday, January 13th, 2009

El costo de oportunidad prima
Las compañías más grandes de la industria del software ya inviertien notablemente en mejorar el diseño y desarrollo de sus productos para que sean más seguros. Ellos en el pasado no habrían invertido nada o casi nada por una sóla razón: el alto costo (remárquese: compañías más grande de software). Hoy se trata, mas bien, de cuánto me costará no haber invertido en eso de un inicio.

Expresando su madurez
Ese alto costo, es el mismo que todas las compañías promedio (que invierten en TI), han procurado evitar en los últimos años con respecto a varios aspectos de la seguridad informática y de la información. No obstante, las cosas ya no son tan fáciles de eludir, pues sus negocios dependen más y más de la versatilidad de los sistemas (software). Hoy, el grueso de problemas viene por ese lado. Las aplicaciones web son, en esta materia, un notable ejemplo, aunque no el único. Estas últimas, han recibido toda la atención de los fabricantes de productos de seguridad para este 2009, como la principal fuente de amenazas. En tal sentido, si una organización con una app. web pública ha decidido mejorar la seguridad de su código, está expresando su madurez, aunque ello puede significar otros retos todavía desconocidos.

El proceso hacia el código seguro
Para una compañía rehusar a asegurar su código en la web, es como tratar de tapar el sol con un dedo. Sin embargo, no son estas las que tendrán que mejorarlo, sino los ingenieros de desarrollo, que deberán estar al nivel de poder hacerlo. Es decir, si un proveedor de desarrollo no está a nivel de hacerlo, el proceso de eliminar la debilidad, tendrá que ser postergado “antipáticamente”. Sabemos que a ningún empresario dueño de una app web y con fondos ($) en mano, le agradará oír de su proveedor de desarrollo que, éste, es incapaz de reparar el error de seguridad hallado por un grupo de pentesters, o quizás por reportes de intrusiones web virales u hallazgos accidentales de clientes y amigos, porque simplemente no tiene personal para eso.

Contramedidas para ahorrar invertir, o para -la nada dulce- espera
Felizmente, no todo estará perdido, siempre habrá alguna manera de apalear la situación. Conviene estudiar alguna contramedida temporal para cualquier impase similar. Por supuesto, las contramedidas no tiene su equivalencia en la seguridad más adecuada, así que debe ser estudiada su conveniencia por un tiempo adecuado.

De cualquier manera, la sola presión de los clientes dueños de una app web hacia sus proveedores, será un signo claro de la madurez empresarial por la seguridad. Ajeno a esto será la crisis financiera o cualquier otro factor global. Se trata simplemente de algo que los líderes de negocios ya no quieren dejar para después, pues ya lo han dejado de lado muchos años en el pasado, y hoy por hoy, mucho de su negocio depende de eso. Un signo claro de esta madurez, ya lo dan los grandes proveedores de software, aunque no todos por supuesto. (Ej. Existe una compañía fabricante de equipos de telecomunicaciones que no posee siquiera un URL para distribución de parches / updates / fixes, o un URL /security para un centro de respuesta a incidentes)

Como primera conclusión, la próxima vez que contrate un desarrollo, consulte si el staff tiene el nivel para hacer un código más seguro, sea que puede o no pagarlo en ese instante. Por supuesto, lo mejor será invertir pensando en seguridad desde el inicio.

He aquí el reto
A pesar del significado de la madurez por mejorar el código, es lamentable que los resultados de estas inversiones no sean del todo bien recibido por los más afectados, los usuarios. Al respecto, usted bien sabe, que una de las funcionalidades más criticadas de Windows Vista (un sistema operativo del que decenas de artículos lo bautizaron con características de “más seguro”) es precisamente, lo que lo hace más sólido en cuanto a seguridad. Si esos mismos usuarios de Windows, hubieran sido usuarios de Linux, quizás hasta se hubieran alegrado de que algo como el UAC User Account Control exista en su Windows Vista. Por supuesto, Windows Vista, tiene otros problemas menos famosos, pero más legendarios en los Windows que lo hacen poco agradeble, pero eso no es tema de este post.

Hay quienes pensarían que Windows Vista, es el gran error de Microsoft. No obstante, todo gran error, trae consigo una lección que bien reciclada, beneficia considerablemente a esta de sus competidores en la industria del software, no necesariamente en la industria de los sistemas operativos. La aceptación inmediata del UAC optimizado de Windows 7 hablará de cuál bien capitalizó Microsoft las críticas al UAC de Windows Vista, si es que existiese -de verdad- una mejora con relación al usuario.

Un buen año para los coders con background en seguridad, pero aún mejor porvenir, para los códers con experiencia pos-servicio
En suma, es previsible que en el transcurso de este y el próximo año, veamos decenas de cientos de proyectos de rectificación de código para un código más seguro, tanto en aplicaciones internas (extranets basadas en app web) como en aplicaciones públicas. Sin embargo, no es tan previsible, que estas mejoras traerán consigo nuevos e inquietantes problemas que aún no hemos visto del todo, pero que definitivamente serán motivo de una estrategia de seguridad más completa aún. Una que no podríamos pretender ahora (2009), porque elevaría los costos a un nivel inaceptable. Por ello, es que hablamos que este situación de mejora expresa una etapa en la carrera hacia la madurez de la seguridad en los líderes y sus organizaciones.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Algo para meditar

Monday, December 15th, 2008

Recientemente una web bastante concurrida, fue desfigurada. No hemos investigado el origen de los defacers, pero por el detalle de la imagen adjunta, podríamos especular que fueron peruanos, o gente con sangre peruana. [Después de todo, son los peruanos los que en su mayoría ven este tipo de programas, pues los invitados no son de Hollywood]

No muy felizmente, esto tipo de desfiguraciones, aún no se han convertido en elementos de relleno en las noticias locales, todavía siguen siendo útiles para darle sentido de actualidad y frescura a la prensa, y por supuesto, algo de buena fama para los defacers.

No obstante este perjuicio mediático dejado por la persistencia de defacers locales contra sitios muy populares, está el perjuicio en la siquis empresarial contra la fortaleza de la oferta tecnológica local (webdevelopers, hosting providers, datacenters, etc), especialmente si desean seguir creciendo en su dependencia de más infraestructura local. Aquí una historia, de dónde meditar al respecto:

Varios años atrás, un atacante de supuesta procedencia asiática inició un DDoS contra un sitio de comercio electrónico globalmente importante instalado en redes peruanas. Luego de sufrir la presión de ser atacado por varios días (sin saber por qué), los dueños del sitio de e-commerce fueron amenazados con una extorsión (seguir siendo atacados si no realizaban un pago especial). Abreviando otros sucesos, el desenlace de la historia fue poco alagador para el Perú, que para entonces era (por decirlo de alguna forma) sede tecnológica para ese sitio de e-commerce. La decisión gerencial fue “sabia” para su portal, aunque no muy provechosa para el aún débil desarrollo local (en términos de infraestructura). Como desenlace, el sitio fue migrado al país donde la tecnología es altamente valorada (fácil de adivinar), y donde podía hallar soluciones adecuadas para ese ataque DDoS.

Luego de leer esta historia y la noticia que le acompaña, si fueron peruanos los defacers, pregúntese ¿quién pierde y quién gana?

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Seguridad != Rapidez

Friday, December 5th, 2008

Un nuevo invento para reducir el fraude on-line ha merecido un post en el blog de Bruce Schneier. En el post, Bruce cuestiona el costo beneficio, además si la tecnología de one-time password empleada es basada en el tiempo o en secuencia.

Sin duda un dispositivo atractivo y simpático que elevará la confianza del tarjeta habiente para realizar compras on-line. No obstante, me pregunto si acaso este mismo invento, no interrumpirá -también- la velocidad de compra de ciertas transacciones. De seguro, tendrán que producir otros mecanismos intermedios para peremnizar compras o aperturar pre-créditos a un usuario que compra a gran velocidad o con cobros automáticos. Finalmente, el mercado dirá qué prevalece, o cómo prevalece, la vieja lucha entre:

Seguridad != Rapidez

Estos dos, no son lo mismo. No se deje sorprender por los que aducen que amabas cosas son posibles, especialmente si ambas convivirán en extremo, y no en equilibrio.

Depure ese falso concepto

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

DEFACEMENTS: A marketing tool?

Monday, November 24th, 2008

Hace más de tres semanas realizamos un experimento de marketing y hacking (o mas bien defacement). El propósito de la prueba era medir la calidad de los rumores generados por un defacement en la web de una compañía de seguridad, como JACKSECURITY.

El experimento ha concluido, y aunque hoy ofrecemos los resultados estadísticos (de último round), no podemos dejar de comentar las experiencias que tuvimos directamente de parte de nuestros visitantes en ese tiempo. Algunos de ellos afirmaban con bastante disgusto y/o molestia el ¿cómo era posible que una empresa de seguridad sea hackeada?. A pesar de que la página trata de ser clara al respecto, vea
http://www.jacksecurity.com/index-defaced.html

Por supuesto, la gran mayoría jamás se dio cuenta de la supuesta desfiguración, porque suelen visitar el weblog antes que el web principal (eso será para otro experimento). Sin embargo, lo que sí lo hicieron, contestaron así:


Una muestra extremadamente ridícula, pero no por ello subestimable.

Considerando los números, es posible que los defacements no tengan por qué ser tan perjudiciales después de todo. Quizás (sólo quizás) haga falta añadirle ciertos aditamentos de marketing, para convertir un web defacement en una herramienta de marketing para otro tipo de organizaciones, no necesariamente dedicadas a la seguridad. Tal si fuera un az bajo la manga, hasta podría ser (descabelladamente) recomendable que los planes de respuesta a incidentes por web-defacement tenga un libreto más benéfico, que tendenciosamente mejore el marketing de la organización. Después de todo quién no quiere ver cómo quedó una web desfigurada, el morbo a la desgracia ajena nunca, nunca falta, sólo es cuestión de guiarlos en la clase de rumor que se genere.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

¿Deseas ser un CISSP? CISSP Voto 2009

Monday, October 20th, 2008

Haciendo uso de la democracia, hoy diluiremos cierto poder a nuestros colegas peruanos, interesados en rendir su examen CISSP.

Les daremos dos semanas desde hoy, para dejar su comentario público respecto a qué mes del año 2009 considera su mejor fecha para rendir el examen CISSP (y similares).

Aunque es altamente recomendable llevar el repaso oficial para alcanzar éxito, no negaremos que varios clientes y colegas nos han solicitado auspiciar una fecha de examen para los más valientes, aquellos que se consideran listo para uno.

Sólo indique en qué mes (no que día) es mejor para usted este examen. Sólo recuerde, que si el examen llega a programarse para la fecha más democrática, usted debe tener la responsabilidad ética de inscribirse tempranamente a dicho examen, de otro modo, otras agendas (incluyendo la nuestra) tomarán prioridad sobre su voto, cualquiera sea el resultado.

CISSP Voto 2009

¿Más acerca de democracia? Quizás le sirva esto y esto otro.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Tip para grabaciones de red

Monday, August 25th, 2008

A aquellos clientes y amigos nuestros que algunas vez preguntaron por un script de carga rutinaria de tcpdump basado en la fecha del sistema, he aquí el aporte:

#!/bin/bash
#Made in JaCkSecurity
kill -9 `ps -ef | grep “[t]cpdump” | awk ‘{print $2}’´ 2>/dev/null
tcpdump -i3 -n -w “log-`date “+%Y%m%d%H%M.%S”`” 2>/dev/null &

Observaciones:
– -i3, es la interfase de captura (esta varía según su sistema)
– El snaplen de tcpdump es por defecto pequeño, no cubre mucha data del paquete.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Técnica de “El Acertijo”, Kaminsky

Monday, August 4th, 2008

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

Baby challenge for firewall & IDS administrators

Thursday, July 24th, 2008

He aquí un reto para la audiencia con espíritu de administrador de firewalls:

18:51:53.778949 IP 192.168.1.19.32968 > 201.230.87.59.53: 843+ A? sb.google.com. (31)
18:51:53.782595 IP 192.168.1.1.53 > 192.168.1.19.32968: 843- 1/0/0 A 209.85.133.93 (47)
18:51:53.782703 IP 192.168.1.19 > 192.168.1.1: ICMP 192.168.1.19 udp port 32968 unreachable, length 83

El ver la vieja película del superhéroe más conocido del último siglo puede ayudar a descifrar qué es lo que dicen estas 3 líneas.

Ayuda:
192.168.1.19 es un servidor DNS y también a la vez un cliente DNS.

Reto:
¿Qué está pasando aquí?

Quiere más, le invitamos a inscribirse al próximo SEC 503.

Staff
JaCkSecurity

¿Concientización de seguridad a todo nivel?

Wednesday, July 23rd, 2008

Quién dijo que el tópico de “security awareness” era sólo para los empleados convencionales, Oh, no. Se equivoca, es para todos, incluyendo los administradores de sistemas y de redes, excepto que para ellos el panfleto debe cambiar, y volverse mas bien, más exhaustivo.

¿Alguien dijo exhaustivo? Oh, sí, la primera vez que escribé esa palabra en la web, fue para traducir el nombre el curso SEC503, un super curso, que por cierto, es muy oportuno para llevar a los administradores de sistemas y redes a un nivel de concientización de seguridad, más profundo que los simples dispositivos de seguridad que hoy manejan.

Alíste ahora e inscríbase al curso, que casi lo hemos hecho nuestro. Lleno de retos o challenges de seguridad, los participantes experimentarán en sus venas los bits y bytes que en pantalla en el libro hemos de revisar.

Y ojo con esto, pues esta vez somos dos especialistas de JaCkSecurity que vamos a dirigir el curso. Es un co-mentoring del SEC503 Intrusion Detection In-Depth, por algo, el primer curso de seguridad que llevé.

Es una excelente fusión: SANS Local Mentoring y JaCkSecurity’s Labs & Challenges

http://www.sans.org/info/30083

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Aviso de SANS a la comunidad peruana

Tuesday, July 8th, 2008

SANS is bringing Sec 503: SANS Intrusion Detection In-Depth to your local community! Beginning on September 6th , SANS Mentor Javier Romero will be leading this class in Lima. For complete course details, please click on http://www.sans.org/info/30083.

Why Choose the Mentor Program?
The Mentor Program, http://www.sans.org/info/30088, consists of small, local run, 10 week classes (actually, in Peru it will running on 6 weeks) utilizing the same great SANS coursework presented at the larger conferences. Mentors and students report several major advantages to the Mentor format: Cost savings, time to digest the material, convenient evening classes, and community networking.

COST SAVINGS: Is the slowing economy resulting in reduced training budgets? With the SANS Mentor program, you save 25% off the regular SANS tuition fee with the ability to save even more with group discounts (see below). No need to spend money on travel and living expenses or spend a week away from the family.

PACED STUDY: Take 6 weeks not 6 days to work through and understand the material. Past students report that the slower pace allows them to absorb and apply the information. Each session provides you the opportunity to apply the materials the next day when you return to the office!

EVENING CLASSES: The Mentor program provides a method for learning the SANS materials and working towards a GIAC certification without taking time off from work.

COMMUNITY NETWORKING: The Mentor program allows you to work with local security professionals in an open discussion format. This community networking has been identified by students as a major benefit of the Mentor program.

One recent Mentor student commented, “I thought that the class was great. I would consider taking another SANS Mentor Program class. It was much more convenient than traveling and I had the ability to review material at my own pace.”

A SANS Institute course delivered locally in Lima by an experienced SANS Mentor who will lead you over a comfortable and convenient schedule, saving you money, while giving you the opportunity to network with local security professionals. What a great combination!! Plus SANS promises you will be able to use what you learn in the classroom as soon as you return to the office.

TUITION DISCOUNTS!
SANS offers group registration discounts for 2 or more students who register from the same organization. To obtain the Group Discount fee and Registration Code offered for this course, contact Miranda Ruddick at mentor[@]sans.org PRIOR to registering, and provide the names and
e-mail addresses of all the students registering within your organization.

Does this sound like the kind of training that would help you be more effective in your job? Then register today at http://www.sans.org/info/30083 and see for yourself the excellent value
of SANS training and GIAC certification!

SPECIAL MENTOR OFFER! Write “recruited by mentor” on the web form (under the text box “COMMENTS”) and the mentor will give you two additional hours of a special security workshop.

¿Necesitas un argumento para entrenarte en seguridad?

Monday, July 7th, 2008

Dependiendo en qué tipo de entidad gubernamental o empresa de servicios te halles, es más que visto que necesitas un argumento fuerte para convencer a tus jefes para que te aprueben el presupuesto para ese curso avanzado de seguridad que tanto andabas buscando.

Si no has perdido las esperanzas, y todavía estás envuelto en el nivel técnico, y te respetan por ello, cuenta cuánto tiempo te tomas en entender esta técnica de amenaza, y compara si ese es el tiempo que deberías tomarte para responder a un incidente similar.

http://isc.sans.org/diary.html?storyid=4645

Próximamente: SEC503, Intrusion Detection In-Depth

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

La red como ayuda forense para fuga de información

Monday, May 12th, 2008

(PARTE 1) Cuando una organización (pública o privada) sufre una fuga de información de algún sistema informático, es inevitable que los líderes de la misma recurran a su departamento de seguridad TI como primera instancia para ayuda forense.

La razón principal de este relación, es precisamente la fuente de almacenamiento principal de dicha información, un sistema informático. En ese sentido, los posibles vehículos de fuga posible pueden variar en un no muy gran avanico de posibilidades: los medios magnéticos (tapes), los medios de almacenamiento óptico (CD/DVD), el mismo disco duro del sistema informático, los USB-drives, y la red.

Aunque dependiendo del criterio del especialista, uno de los medios de fuga que se deben descartar primero es la red. A diferencia de un USB-drive, tape, CD o DVD, que puede ser confiscado físicamente en la portería de la organización (no obstante, de generar una ruidosa condición de pánico al personal y de alerta al “insider”), la red podría seguir siendo un medio incontrolable de fuga de información, luego del incidente. De esta forma, la red debe ser el primer medio de despistaje forense al alcance del departamento de seguridad TI.

Una forma efectiva pero -muy criticada por su factibilidad- es el despliegue de capturadores de tráfico en los cuellos de la red de la organización. Un mecanismo de captura puede ser ubicado y configurado a diferentes nivel de detalle, que un analista de protocolos puede acomodarse sin mayor problemas. Su principal detractor es el espacio de almacenamiento que requieren los equipos de captura, cuya demanda será proporcional al tráfico de la red.

Sin embargo, una forma más inteligente y económica es el despliegue de colectores de flujos (flows). Los colectores de flows pueden ser consultados luego de viajar a un sistema de base de datos, en tiempo real o hacia atrás. Ello permite al analista forense, realizar una infinita cantidad de consultas por el tráfico de la red, a fin de determinar la duracción, tamaño, y equipos que mantuvieron ciertas comunicaciones sospechosas.

Una fuga de información como la sufrida recientemente por la nación chilena, requiere -por ejemplo- de este tipo de evidencias rápidas. Viajando a través de un análisis exhaustivo de los flujos generados por las redes de las instituciones afectadas, el analista buscará el tráfico que represente la transferencia (upload o download) de semejante volumen de datos, hacia RapidShare o hacia cualquier otro lugar en la red, desde o hacia los sistemas afectados.

JaCkSecurity dispone de mecanismos para ayudarlo a preparse tempranamente para penosos e inevitables incidentes como estos. Sírvase consultarnos por estos mecanismos.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría