sábado, 6 de febrero de 2010

Informe de Daños

Pues si, hay que admitirlo.... nos han atacado.

Esta frase no es muy leida/oida. Parece que un ataque daña más nuestro ego que nuestros datos, pero es una frase que cuesta dinero. Ese dinero, va normalmente en prestigio de la compañía. Imaginese que en nuestra compañía de seguros, adsl, banco/caja etc nos dijeran lo siguiente.

Hemos recibido un ataque y han robado la base de datos de cliente.

Suena muy de pelicula, pero el hecho es que si mi compañía de ADSL me dijera esto, probablemente yo buscaría otro proveedor de servicios, y como yo otros tantos, así que el daño real del ataque se quedaría no solo en "copiar" un fichero del que tengo backup, sino en una perdida de clientes en la que tardaría mucho tiempo en recuperarse. De ahí que pocas veces una compañía haga publico su "informe de daños"

Si el ataque hubiese sido menos critico, algo así como... El atacante nos produjo una parada de servicios que se ha restaurado en 48 horas.

Tambien pensariamos que mejor, cambiar de proveedor, no vaya a ser que reciban otro ataque. Así que mejor no difundir que hemos recibido un ataque.

Y bien, hasta aqui la opinion publica o el mensaje a difundir externamente... pero internamente??

Pues casi igual, tenemos que tener en cuenta que aunque sean empleados, deben tener la información justa. En el caso del departamento de seguridad e Infraestructuras la cosa cambia, pues serán necesarios la revision e intentos de sabotaje en la considerada zona militarizada.

Así debemos realizar estudios internos exaustivos para comprobar las distintas areas internas y las consecuencias para conocer el Riesgo.

Recomiendo una lectura de los servicios secretos del gobierno de los Estados Unidos que creo que será interesante.
http://www.secretservice.gov/ntac/its_report_050516.pdf

Aunque sea el Servicio Secreto, es un documento no-secreto.

Saludos

ISO 27001 o la seguridad bajo control

En la mayoria de los casos, la seguridad suele ser firewalls, configuraciones de dispositivos y politicas en servidores y estaciones de trabajo. Esto es lo adecuado para técnicos de sistemas y sus responsables.


Pero cuando miramos mas arriba, normalmente en responsables de seguridad y sistemas, la cosa cambia, pues hay un monton de aspectos que no se tienen en cuenta. Y son estos los que las normativas nos va a recordar y ayudar para que se cumplan.

Probablemente tengamos una buena configuración en cuanto a las directivas y restricciones de accesos internet, pero quien tiene en cuenta que un empleado puede sacar ficheros y datos en general desde un dispositivo USB? Aunque las politicas en ficheros en discos duros sean las mas adecuadas, ¿Quien se responsabiliza de acompañar al tecnico del fabricante y asegurarse de que un disco duro averiado no se saque de las instalaciones? ¿O quien destruye un disco averiado para que nos aseguremos que la información no podrá ser recuperada? ¿Y la informacion impresa en un papel?

Actualmente, vivimos una sociedad mas sensible a todos estos casos. ¿Quien no escuchó la noticia de informacion comprometida depositada cerca de contenedores de basura? Esta, por causas del destino, fué descubierta por personas que andaban por la zona y no se puede decir que se robara, pues una vez en la calle, esperando a los camiones de la basura, se podría decir que no es un robo recoger estos papeles.

Las normas, nos ayudan a hacer las cosas bien, y a cubrir las posibilidades en cuanto a todo esto que puede ocurrir. Estas, normas, recogidas por ISO y con el código 27001 nos explican como podemos controlar todo, para no dejar información de la empresa, al azar. Así, con una buena implementación de las normas, podremos pensar que estamos haciendo las cosas bien, mas allá de las politicas de nuestros dispositivos de seguridad.

Kevin Mitnick vs Tsutomu Shimomura

En las navidades de 1994 se produjo uno de los hechos que podemos decir, mas fascinantes desde el punto de vista de la seguridad informatica y probablemente un gran caso de estudio,


En esas fechas, quizas el hacker mas conocido del mundo intento robar ficheros a uno de los expertos mas conocidos de la seguridad y consultor famoso, Shimomura. Este hecho nos lleva a reflexionar sobre multiples aspectos a tener en cuenta a la hora de proteger nuestras redes, servidores y sobre todo, nuestros datos.

Resumo brevemente lo ocurrido.

Shimomura protegio sus sistemas en su domicilio, pues tenia en cuenta un posible ataque contra sus servidores, asi que al ser conocido, probablemente alguien intentara por fama "hackearle", este constaba de un servidor al que solo se podia acceder desde una maquina cliente, con lo cual empezamos con una relacion de confianza entre las maquinas internas. El sistema operativo cliente y el sistema operativo del servidor en ejecucion era un Sistema Operativo Solaris, de Sun Microsystems, especificamente la version 4 de este (SunOS4) y tenia una red conectada permanentemente a Internet, en la que tenia registrado el dominio "toad.com"

Aprovechando unas vacaciones de Shimomura en las que estaba de viaje en casa de un amigo en San Francisco, y Mitnick comenzo con su ataque.

Para empezar, ejecuto sentencias FINGER para chequear los usuarios tipicos de un sistema, y asi conocer que usuarios hay y las relaciones en las que los equipos confian entre si. Finger es un comando que te responde facilmente ante preguntas de usuarios.

Para continuar, realizo un ataque de denegacion de servicio DoS mediante SYN flood, asi consiguio bloquear en un primer lugar al servidor, de esta forma, el atacante silencia al servidor, que al silenciarse no puede generar ninguna advertencia.

Una vez silenciado el servidor, el atacante va a por la maquina cliente comprobando debilidades en la pila TCP, de forma que mediante SYN/ACK va aprendiendo como se establecen las conexiones en la relacion de confianza. Estos intentos de conexion se realizaban desde apollo.it.luc.edu,

Una vez chequeado, el stack tcp, el atacante encuentra una forma de conectarse y mediante spoofing, consigue simular al servidor atacado que no da signos de funcionamento y consigue abrir un socket o puerto en el cliente X.

Para finalizar, una vez abierta una sesion, usara #rlogin -l root" para tomar el control de la maquina cliente.

Este hecho, nos da que pensar cuando aprendemos algo mas del caso.

Kevin Mitnick no utilizo ninguna tecnica inventada por el, simplemente hizo uso de las herramientas que cualquiera puede encontrar en internet. Asi nos lleva a pensar lo peligroso que puede ser cualquier atacante. En cualquier formacion de seguridad, nos entregaran un CD con multiple informacion, links o herramientas que nos permitirian realizar este tipo de ataques.

Otro hecho relevante, es el ataque de denegacion de servicio usado por un joven de Canada, que interrumpio el servicio de varias empresas con presencia en internet tan conocidas como Yahoo o Ebay.

Como me dijo un amigo, la forma 100% segura de mantener servidores fuera de ataques, es desconectandolos y apagandolos. Esto es cierto. Cualquier servidor conectado a Internet ya esta expuesto y podria ser una victima. Pero lo realmente importante que tenemos que pensar, es en protegernos de este tipo de ataques, ya son conocidos y aplicamos parches de seguridad pero no estan del todo controlados.

La inversion en seguridad no nos lleva a pagar firewalls y configuraciones de seguridad solamente. Nos lleva a aprender mas cosas como la seguridad que debemos aplicar para defendernos de la ingenieria social, que tantos fraudes ocasiona.

Bueno, pronto hablare mas sobre otras vulnerabilidades.

Finalmente, Kevin Mitnick fue arrestado por el FBI por la demanda de Shimomura al haber robado ficheros con informacion importante. Como referencia dejo el nombre del libro: Takedown: The pursuit and capture of Kevin Mitnick, America's most wanted computer outlaw - by the man who did it. ISBN 0786862106 publicado por Hyperion en Febrero del 1996.