Weblog de JaCkSecurity

Como es de su conocimiento el pasado mes de noviembre se celebró el día internacional de la seguridad Informática, con tal motivo decidimos lanzar un concurso, del cual obtuvimos un ganador destacado.

Germán, nuestro ganador de Mi Historia de Seguridad, nos explicó cómo mejoró la seguridad de la infraestructura de su institución, luego de fusionar algunas lecciones de captura de tráfico impartidas por JaCkSecurity.com, y la destacada habilidad de su team desarrollando herramientas propias para la gestión.

Su historia demuestra claramente cómo las personas hacemos la diferencia para manejar los problemas tecnológicos de seguridad, especialmente empleando los recursos existentes. Una verdad a la que por cierto han llegado muchos líderes de seguridad en el mundo. Pero por supuesto, este reto supone constante capacitación y desarrollo de las habilidades de los profesionales de seguridad. Un reto que JaCkSecurity.com ha asumido en su misión corporativa.

Por esa razón, reconocemos la iniciativa de seguridad de nuestro ganador otorgándole una media beca para cualquiera de los “nuevos cursos” que JaCkSecurity.com lanzará en el 2007.

Sin más preámbulo, su historia:

Título: ¿ De quién es ésta PC?
Ganador: Germán Medina Neria

Antes de la mejora
La red de la institución huésped de mi historia empleaba entre sus prácticas de conectividad, la asignación de direcciones IP estáticas, para que los usuarios obtuvieran conexión a la red interna y a la Internet. Aunque este escenario puede someterse a una política de asignación de direccionamiento IP dinámico, se sumó al escenario plantado un interesante problema.

Indistintamente usuarios finales y sin conocimiento del administrador de la oficina informática empezaron a secuestrar direcciones IP que eran reconocidos por firewall como aquellas válidas para acceder a Internet. Incluso se inició el éxodo donde los usuarios finales empezaron a adquirir sus equipos portátiles y a conectarse a la red de datos para acceder a servicios de Internet, saltando los trámites regulares para dichos casos tan exclusivos.

Adicionalmente, la institución no contaba con un software de monitoreo capaz de rastrear las incidencias de conexión de cada uno de los usuarios finales, algún muy útil para detectar estas violaciones a la política.

Solución, detección y sanción

El 24 de mayo del 2006 asistí a la charla técnica “Análisis de Incidentes con Windump” que brindó la empresa JaCkSecurity.com en TECSUP, con motivo de su I Simposio Internacional de Redes y Comunicaciones de Datos. Allí comprendí cómo enfocar mi propuesta de solución: “ver las direcciones MAC (Machine Address Code) y escuchar lo que éstas querían hacer”, esto es como pegarle el oído en la red de datos. Es así que desarrollé un software que atendiera los siguientes objetivos:

(1) Capturar de direcciones MAC, dirección IP, nombre de PC, fecha/hora, y puertos destinos del intento de conexión.

(2) Capturar las 24 horas del día, los 365 días del año, manteniendo y actualizando una tabla principal.

(3) Permitir la carga manual de datos a través de un formulario electrónico, con la información de las PCs y con datos extras como: número de roseta, número de oficina, número de piso, número de anexo, si estaba inventario o no, entre otros.

(4) Crear tickets de incidentes por violación, notificando por correo electrónico cuando el contraste entre dirección IP y dirección MAC no coincidiera con la tabla principal autorizada.

Resultado final

Hoy tenemos capacidad de detectar a los usuarios finales que secuestran direcciones IP, a quienes posteriormente se le amonestada administrativamente.

Los usuarios finales con equipos portátiles y nuevos solicitan, vía conducto regular, la inscripción de su equipo en el sistema desarrollado (tomándose la dirección MAC y otras características del equipo, mientras se le asigna una dirección IP que está asociado a ciertos servicios de Internet).
La introducción del programa adicionó un nuevo procedimiento de seguridad: Cada vez que una PC se movía de un área hacia otra en la institución, debía ser actualizado a través del programa para que no genere notificación por violación. Igualmente sucede en los casos: si es que la PC es actualizada de nombre ó se cambia la tarjeta de red.

Adicionalmente, el programa facilita acceder a un registro histórico de:

• la hora punta de las conexiones concurrentes,
• cuánto tiempo está conectado cada equipo de cómputo en la red de datos,
• si efectuaron cambios en la configuración de la conexión de red,
• y sobre todo cuándo se detectó una usurpación de direccionamiento IP.

Por supuesto, una vez que identificaba alguna nueva PC, hicieron falta procedimientos extras para garantizar que cada uno de dichos equipos contaran con la protección mínima necesaria: Antivirus, y otras políticas de acceso.

Comentarios de JaCkSecurity.com

Paralelo al hecho si existen similares propuestas en el mundo comerciales para solucionar este tipo de problemas, destacamos principalmente la pro-actividad de los profesionales con sentido de responsabilidad en la seguridad como Germán y su team, a fin de crear procedimientos y desarrollos propios para afrontar las diferentes aristas que la seguridad informática demanda como problema.

Para debates de mejoras y/o usos del software citado en la historia, sírvase contactarse con Germán Medina Neria, actualmente Networking Team Leader del Instituto de Enfermedades Neoplásicas, al 710-6900 anexo 1033.

En diciembre (1 y 2), JaCkSecurity.com estará realizando el taller CSIRT Security Workshop. Para resolver algunas de sus consultas lea con detenimiento lo siguiente:

¿Qué es un CSIRT?

CSIRT (siglas) viene de las siglas en inglés Computer Security Incident Response Team. 

Un CSIRT es un equipo de expertos en seguridad TI cuya principal misión es responder a incidentes informáticos. Así, un CSIRT proveerá de los servicios necesarios para manejar y atender a sus usuarios a fin de recupar sus sistemas de alguna brecha.

A fin de mitigar los riesgos y minimizar el número de respuestas requeridas, la mayoría de CSIRT también proveen de servicios preventivos y educacionales para su usuarios. Algunos CSIRT publican avisos de vulnerabilidades en el hardware y software en uso, también informan a sus usuarios acerca de la explotación de virus y exploits que abusen de estas fallas. De tal forma que los usuarios sepan qué hacer rápidamente.

Beneficios de tener un CSIRT en tu empresa

• Tener una coordinación centralizada para los problemas de seguridad TI dentro de tu organización. 
• Manejo especializado y centralizado de respuesta a incidentes TI.
• Tener la experticia en la mano para soportar y asistir a los usuarios a recuperarse rápidamente de un incidente de seguridad.
• Lidear con los problemas legales y preservar la evidencia en el caso de una demanda.
• Estimular la cooperación dentro de los usuarios del servicio de seguridad TI. 

¿Por qué un CSIRT para mi empresa?

• Hoy en día las regulaciones de seguridad parecen estar sobresaturando las cabezas de los gerentes de TI en el mundo. Por ello, es necesario resumir la seguridad en componentes básicos y sencillos para gestionarla de manera que crezca y madure progresivamente, desde adentro. Un CSIRT permite eso.
• La única forma de convencer a la alta gerencia de la problemática en seguridad, es teniendo problemas de seguridad. Un CSIRT permite eso.
• Cuando piensas en tener personal de seguridad, normalmente piensas en personal de confianza, y qué mejor del que ya tienes y conoces en años. Sólo hace falta que le traces el camino. Un CSIRT permite eso.
• La seguridad no es un dispositivo informático invulnerable, ni un abusivo esquema de políticas sancionadoras y voraces, seguridad es útil, mientras ayude al negocio. Esto exige que sea flexible, a la vez de efectiva. Pero no se puede lograr de la noche a la mañana, hace falta que consideres a la seguridad como un proceso. Un CSIRT permite eso.

Perfil del participante

El curso se enfoca a dos audiencias en simultáneo:

• Jefes o gerentes TI
• Especialistas de TI

Por ende la exigencia no es parcializada, cualquier especialista de TI puede participar. No obstante, es más conveniente si conoces de detección de intrusos y algunas vez has leido tus logs. Si puedes, ve dándole revisión a esto a fin de ir más aprehensivo al taller.

Acerca del instructor

El instructor ha participado como creador y fundador del primer CSIRT creado en Perú para AT&T Latin América, conocido en sus días como APSIRT. APSIRT fue creado el 15 de noviembre del 2,000 luego de que acontecimientos de gran magnitud golperan a una basta cantidad de sistemas Windows con el QAZ entre agosto y octubre de ese año. Bajo la gestión del instructor y el team, APSIRT alcanzó niveles oficiales como CSIRT al ingresar a la comunidad FIRST el 15 de noviembre del 2,001; en donde participa hoy como el team TESIRT. Nuestro instructor además, escribió un paper (en el 2,005) acerca de cómo crear un CSIRT nacional, para The SANS Institute. Finalmente, su participación como instructor del taller cuenta con la aprobación de TERENA, quienes son los creadores del material oficial. La versión en español de éste material es gracias a la comunidad CSIRTs en Latino América.

Ahora puede inscribirse.

En caso tuviese más consultas, sírvase escribirnos a nuestro portal.

En julio JaCkSecurity.com, presentó los cursos que presentaría para la segunda mitad del 2006. Durante el evento se contó con la presencia de más de 50 profesionales de TI, consultores, jefes, gerentes y hasta un CISO.

Agradecemos a todos los participantes, quienes nos ayudaron a computar con mayor precisión los Errores de la Gestión de la Seguridad de la Información en las Empresas Peruanas.

Esperamos tenerlos nuevamente en la charla “Information Security Management” que estaremos ofreciendo en INFOMINA 2006.

Durante las semanas del 26 de agosto al 23 de setiembre (2006), JaCkSecurity.com ha estado llevando a cabo el curso Mastering CISSP®.

A continuación algunos sucesos durante nuestro primer curso (actualmente en su 3ra. versión):

Setiembre: A la izquierda con libro en mano, se observa al participante ganador del sorteo del libro “Beyond Fear: Thinking Sensibly About Security in an Uncertain World (de Bruce Schneier)”, sin duda un super libro que amerita leamos.

Sábado 26 Agosto: Instructor durante el dominio Criptografía.

Sábado 16 Setiembre: Instructor complementando el dominio “Metodologías y Sistemas de Control de Acceso” con Biometría.

Sábado 16 Setiembre: Restaurante “El Olivar”, lugar donde los participantes disfrutaron de los deliciosos almuerzos sin inversión extra.

Sábado 9 Setiembre: Instructor desarrollando la ciencia tras la noticia del incendio en la Pampilla (caso práctico del dominio “Seguridad Física”).

Setiembre: Participantes intercambiando experiencias.

Si desea conocer de éste y otros curso suscríbase a nuestro portal.

En mayo del 2005 JaCkSecurity.com organizó la charla informativa de los cursos SANS Institute. En el evento contamos con distinguidos invitados de seguridad, además de nuestro fiel público.

Contamos con el apoyo de los especialistas de seguridad de CSIRT_UNI (Universidad de Ingeniería), desde acá unos saludos cordiales a nuestros amigos de éste team.

Saludos desde acá a César Farro quien dictase el año pasado el curso de SANS Firewalls.